13、人员与技术安全漏洞全解析

人员与技术安全漏洞全解析

人员漏洞

人员漏洞和运营漏洞之间存在微妙的界限。运营漏洞涉及人员和公司的运作方式，而人员漏洞则源于公司招聘和管理员工的方式。这些漏洞极大地增加了风险，因为攻击者可以利用这些漏洞来利用其他所有的弱点。

未验证背景信息

许多公司没有充分调查求职者的背景，很少有组织会花时间核实推荐信、工作经历或学历。招聘经理往往仅依赖面试来筛选候选人，只要候选人看起来合适就会被录用。当公司急需特定技能的人才或面临劳动力短缺时，招聘流程会进一步简化。

有研究表明，多达70%的简历包含“故意的不准确信息”，可能是掩盖犯罪记录或提供虚假推荐信。例如，新闻中曾报道过有儿童性侵定罪记录的育儿工作者、有恶意黑客背景的程序员等。如果求职者在背景上撒谎，很难让人相信他们在其他方面会诚实。

MICE因素

MICE（金钱、意识形态、胁迫、自负）是人们从事恶意活动的主要原因。有人认为任何时候，有3%的人在有机会时会犯罪，但实际比例可能更低。然而，确实存在一些人会在机会来临时利用他人，还有些人可能会被间谍逼迫。员工通常可以不受限制地访问公司内部的各种资源，这使得这个问题更加严峻。

管理薄弱

薄弱的管理是一个特殊的漏洞，它为员工创造问题提供了更多机会。远程办公和远程管理会加剧这个问题。员工可能会利用管理薄弱的情况，最常见的问题是生产力下降。更严重的是，员工可能会利用公司资源开展自己的业务，甚至与雇主竞争，或者利用公司设施进行犯罪活动，如赌博和贩毒。

离职程序不完善

离职程序规定了员工离开公司时会发生什么。如果没有精心设计的程序确保离职员工归还公司发