Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Flera olika faktorer driver ökningen av cyberbrott, men en tydlig trend är att i takt med att arbetsplatsen blir allt mer distansbaserad, där majoriteten av arbetet och kommunikation sker online, så blir arbetsplatsen mer utsatt för phishing och metoder för social manipulation. När distansarbetare inte fysiskt är på kontoret tillsammans så kan även kommunikationen mellan kollegor försvåras, för att verifiera information eller förfrågningar i phishing emails.
Med denna ökade risk i åtanke, borde företag upphöra med distansarbete? Det vore föga troligt att den moderna arbetsstyrkan, som har vant sig vid distans- och hybridarbetets många fördelar, skulle acceptera en total återgång till det fysiska kontoret. En undersökning från Medlingsinstitutet visar att distansarbete har fyrdubblats efter pandemin, och dessutom leder arbetsformen till ökad produktivitet och personalbehållning; i Remotes undersökning, innehållande 1 004 beslutsfattare inom HR- och företagsledning, så hävdar 69 procent av de arbetsgivare som har anammat en distribuerad arbetsmodell att deras personalomsättning har minskat. Produktiviteten har dessutom ökat för 72 procent av de tillfrågade sedan de började med en distribuerad modell.
Så när distansarbete är ett etablerat arbetssätt i vårt samhälle, vad kan företag göra för att öka sitt cyberförsvar när teams blir mer digitala? Många företag förmodar att cybersäkerhet enkom är ett ansvar för it-avdelningen, men detta är en felaktig uppfattning som exkluderar den viktigaste faktorn av alla: organisationens individer.
Enligt en studie från IBM så orsakas 95 procent av alla cybersäkerhetsbrott av den mänskliga faktorn. Så om människorna i organisationen är den svaga länken så är det även HR-avdelningens ansvar att förbättra cybersäkerhet och hjälpa implementeringen av processer som skyddar värdefulla data. HR har en ovärderlig roll i att förebygga dataintrång och HR-ledare måste hjälpa att skydda deras organisationer från risker online.
Hur kan HR agera för att adressera problemet? Första steget är att bygga en samarbetskultur mellan HR-ledare, interna IT-teams och dataskyddsspecialister. HR kan aktivt bidra genom att samarbeta med IT för att etablera en förfinad nivå av åtkomst baserad på organisationens struktur, vilket också inkluderar den anställdes position och avdelning. Genom att göra detta så kan HR hjälpa till med att kontrollera och reglera åtkomst till specifika kategorier av information och handlingar. Samarbetet mellan HR och IT kan skydda känsliga data genom att endast bevilja åtkomstprivilegier till de individer som verkligen behöver det för att uppfylla sina arbetsuppgifter. Principen om minsta privilegium är vägledande och betonar att avsikten inte är att utesluta individer eller undanhålla information från vissa anställda, utan snarare att erkänna att anställda på olika avdelningar, såsom marknadsföring, ekonomi eller redovisning, inte nödvändigtvis behöver obegränsad tillgång till varandras data. Denna princip skulle kunna begränsa potentiell skada vid ett dataintrång som orsakas av en enskild anställd.
Nästa steg är att HR använder deras vardagsrutiner som rekrytering, onboarding och fortlöpande personalutbildning för att försäkra att personalen är medveten om deras ansvar när det gäller cybersäkerhet inom organisationen.
Exempelvis så är rekryteringen en möjlighet att sondera röda flaggor hos deras kandidater, med tanke på att tjänstefel är en vanlig orsak till dataintrång. Samtidigt behöver HR-avdelningen själv vara försiktig under processen för att inte råka ut för ransomware eller phishing under täckmanteln av personliga brev eller CV. Om de dessutom håller virtuella intervjuer med kandidater så måste HR-teams säkerställa att åtgärder för nätverkssäkerhet är på plats, samt att all rekryteringsmjukvara är installerad med de senaste säkerhetsuppdateringarna.
Onboarding är också en avgörande fas där HR kan skydda känslig information. HR behöver hålla koll på all utrustning som den nya anställda tar emot och säkerställa att denna lämnas tillbaka om och när den anställde lämnar företaget, så att denne inte får med sig känsliga data efter anställningsperioden. Nya rekryteringar måste även bli ordentligt informerade om säkerhetsåtgärder, som hur man upptäcker phishing emails och hur man utformar starka, unika lösenord. HR måste dessutom vara försiktig med den stora mängd personliga data som överförs under onboarding-perioden: krypterade kommunikationskanaler är vitala för dessa data innan de är insamlade och lagrade.
Personalutbildning är en annan viktig möjlighet för fortlöpande cybersäkerhetsträning så att arbetslaget kan etablera och upprätthålla bästa praxis. Anställda behöver regelbundna påminnelser om farorna som svaga lösenord och phishing mail innebär. Denna utbildning är också en möjlighet att utbilda personal om de senaste hackningsmetoderna som används av cyberkriminella och hur man arbetar säkert på distans. Exempelvis så kan offentliga wifi-nätverk vara riskabla att använda, och även om det är lockande att koppla upp sig vid arbete från ett café eller annan allmän plats så är det mer säkert att använda sin smartphone eller hotspot istället för att koppla upp sig på ett okänt nätverk.
Hos oss på Remote, som har mer än 1 000 anställda som arbetar på distans i mer än 75 länder, så måste all personal genomgå utbildning inom de första 30 dagarna av anställningen och på årsbasis därefter, för att säkerställa att de förstår säkerhetspolicys, processer och bästa praxis. Genom att investera i arbetsstyrkan via utbildning så skapas tillit bland anställda, som är främsta skölden mot cybersäkerhetsintrång.
Företag måste inte handskas med denna uppgift på egen hand: de kan arbeta med pålitliga partners som skyddar deras data samtidigt som de fortsätter att anställa en globalt utspridd arbetsstyrka. En tjänsteleverantör inom employer of record (EOR) kan hjälpa organisationer att expandera tillförlitliga globala teams, samtidigt som de säkerställer att arbetsgivaren följer lokala och internationella dataskyddslagar inom marknaderna som de befinner sig i. Detta ger företag utrymme att fokusera på hantering och expansion av verksamheten.
Att integrera cybersäkerhet i företagskulturen måste vara en målsättning som tacklas av hela organisationen, inte bara it-avdelningen. HR har en nyckelroll i att bygga en stabil grund för företag som utvidgar sina globalt distribuerade arbetslag.
