回复“221122”中获得“缓解内部威胁：了解并保护关键资产”PDF版

案例研究：申诉报复

该内部人员后来得知，该组织正计划将该套软件的未来开发工作外包出去，将她降职、减薪，并将她调到另一个办公室。当该项目仍在该内部人员的控制之下时，她以一种隐晦的方式编写代码，以破坏项目的过渡。

该内部人员提出申诉并请了假。该组织拒绝了申诉，而该内部人员辞职了。在辞职之前，该内部人员将源代码复制到可移动媒体上，并用密码进行了加密。然后，该内部人员从她的笔记本电脑中删除了源代码，她在辞职时交出了该笔记本电脑。她解释说，她故意删除了源代码，作为上交前擦拭笔记本电脑的一部分，但她没有透露她保留了一份源代码的副本。

调查人员最终在内部人员的家中发现了该软件的加密副本。9个月后，该内部人员终于承认了她的罪 行，并提供了该加密软件的密码钥匙。她被逮捕，被定罪，被判处一年监禁，并被命令支付13,000美元的罚款和赔偿金。

一家政府实体的IT部门雇用该内线为网络管理员。该内部人员建立了该组织的网络，是唯一拥有网络密码并真正了解网络运作方式的人。他拒绝授权给其他管理员。该组织因其表现不佳而对其进行了训斥。该内部人员在被一名同事撞见后威胁该同事；随后该内部人员被重新分配到另一个项目。该内部人员拒绝交出网络密码，因此该组织终止了他的工作并将其逮捕。结果，该组织的主要计算机网络被锁定了近两个星期。

该内部人员被捕后，他的同事发现他在隐蔽的地方安装了流氓接入点

并设置了该组织的系统，如果有人试图在没有适当密码的情况下重置系统，就会失败。该内部人士向警方提供了密码，但没有一个成功。后来，他在与一名政府官员会面时交出了真正的密码，而这名官员是该内部人士唯一信任的人。该内部人士为自己的行为辩护，声称这些行为符合标准的网络安全做法。该内部人员被定罪并被判处四年监禁，目前正在等待经济处罚听证会。该组织的事件相关损失在20万至90 万美元之间。

²确保高级管理层倡导、执行和遵守所有的组织政策。没有管理层支持的政策将不会被平等地执行，并且会失败。所有级别的管理层都必须遵守政策。如果管理层不遵守，下属就会认为这种不遵守是政策不重要的表现，或者他们的标准与管理层不同。组织还应该把政策的例外情况清楚地传达给全体员 工。

²确保管理层向全体员工介绍所有政策和程序。雇员、受信任的外部实体和临时工应在被雇用时签署可接受的使用政策和可接受的工作场所行为政策，此后每年签署一次，或在发生重大变化时签署。签字。签署这些政策也是组织及其员工、承包商和重申任何保密协议的机会。

²确保管理层让所有部门的工作成员都能轻松获取组织的政策。在组织的内部网站上发布政策可以促进政策的广泛传播，确保每个人都能获得最新的政策信息。

²确保管理层强制要求对全体员工进行年度复习培训。复习培训应涵盖组织的所有方面，而不仅仅是信息安全。培训应包括人力资源、法律、物理安全和其他感兴趣的领域。培训内容可以包括但不限于政策的变化、过去一年中出现的问题以及信息安全趋势。

²确保管理层在整个员工队伍中一致地执行政策，以防止出现偏袒或不公正的现象。组织的人力资源部门应制定政策和程序，明确规定违反特定政策的后果。这种方法使组织更容易明确和简洁地执行其政策。