如果你花任何时候看书或看新闻,今年,你听说过至少一个主要数据泄露。不仅那些引人注目的事件,损害了公司的声誉,他们也把客户和消费者处于危险之中,因为他们的数据可以很容易地进入公众的手中。
在这些事件之后,你可能会认为,在网络安全威胁成为现实之前,公司会希望得到警告。然而,情况并非总是如此。内部举报人往往会遭到他们试图保护的公司的报复。很多时候,员工甚至不知道如果他们成为告密者,他们将受到法律保护。
Katz, Marshall & Banks的创始合伙人黛布拉•卡茨(Debra Katz)曾代理过一些客户,这些客户因为把网络安全问题提上了前台,而遭到了自己雇主的直接报复。“我们经常看到的是,当员工在写冗长的备忘录或电子邮件,详述问题时,他们被告知,不要愚蠢,不要把事情写下来。所以几乎从一开始,这些职位上的员工就会因为报告问题而受到打击,并试图将问题记录下来,呈现在公司的屏幕上,这样公司就会分配必要的资源。”This is especially true for employees who work closely with cybersecurity; they often feel as though they are a walking target, with the business viewing them as a threat, rather than an ally.
“这是人们谁在这个部门的工作真的有很多法律保护的,他们也有一个目标在他们的后面运作,公司必须到这个敏感的环境中,”卡茨说。
网络安全威胁也可能与欺诈有关,企业可能会简单地低估对商业伙伴和客户的潜在威胁。例如,员工可能会发现许多漏洞,但却无法获得更新系统的资源。
但是,如果一个公司内部忽视举报人,它可能会导致更多的问题,尤其是如果员工需要关注其给SEC,它通过具有举报人计划多德 - 弗兰克华尔街改革和个人消费者保护法案。通过该计划,告密者是诱因通过接受美国证券交易委员会对公司施加罚款的10%至30%挺身而出。
这些也起到提供保护,以谁的上市公司工作的举报人,以及除了多德 - 弗兰克法案,有萨班斯-奥克斯利法案,这既涉及到企业的欺诈行为。除了这两种行为,当谈到报告对敏感数据泄露欺诈性的商业行为和潜在状态造像保护员工。而对于那些在私人公司工作,如果工作人员发现他们的雇主歪曲自己一家上市公司,他们还授予在相同的行为保护。
为什么一个公司风险反弹惩罚雇员谁是简单地试图做正确的事情,并最终帮助企业?一般而言,高管很可能喜欢举报人错在他或她的公司的网络安全实践评估。而不是从根本上改变企业如何保护其数据,客户和资产,高管宁愿坚持使用现状。问题是,在网络安全5年或10年前什么工作,最有可能今天不抱起来,因为技术发展迅速。
相关报道:H-1B举报人文件的新的联邦诉讼
卡茨指出,那些选择忽视网络安全威胁,不采取主动的方法来扫描系统的漏洞的公司,最终将付出更多的代价。考虑到法律费用、雇佣人员帮助解决问题、美国证券交易委员会(SEC)罚款、客户流失以及对公司声誉的损害,这远远超过了企业为维护安全的网络安全系统和修补漏洞而投入的主动资源。
比如,塔吉特公司在2013年的网络入侵事件使公司损失了2.64亿美元的直接开支。据Katz说,家得宝估计2004年的网络入侵事件使公司损失了6200万美元,这还不包括对塔吉特公司提起的44起诉讼的法律费用。的Ponemon的研究所发布今年早些时候指出的平均成本为任何公司,或大或小的数据破坏的报告,是380万$,这意味着小企业也不能幸免于网络安全威胁的惊人成本无论是。对于医疗保健行业,它可以处理一些最敏感的客户数据,Ponemon的报告每个被盗记录的平均成本为$ 363
对于员工来说,了解自己的权利,当谈到报告伦理问题与贵公司是非常重要的。“如果有人认为他们是脆弱的这个报复他们需要保持一个全面的日志记录他们的努力提高的问题和他们得到了当他们试图提出这些问题的回应,”卡茨说。虽然很多公司都有道德热线和800个号码打电话,Katz说这并不总是最安全的途径,为员工伸手。在现实中,保证员工的安全,当谈到告密,企业需要创建一个可令它的工人,他们可以存在于周围的安全威胁问题和疑虑的环境。
相关报道:请董事会真正关心网络安全?
确保您的企业没有牺牲品通过削弱网络安全漏洞造成的损失根据卡茨的说法,首先要对报复采取零容忍政策。“他们应该做一切可能真的为这些人提供资源和支持有效地完成他们的工作,”她说,“和公司需要明白,显然是至关重要的业务没有这些漏洞,但他们也面临重大告密者的法律责任。”
这个故事,“改变告密者报复文化”最初发表于CIO 。