مدیریت ریسک انسانی (Human risk management) ، یک جنبه حیاتی از امنیت سایبری می باشد که بر شناسایی، تجزیه و تحلیل و رسیدگی به خطرات مرتبط با رفتار انسانی مرتبط با فرآیندها و رویههای یک سازمان تمرکز دارد. داشتن HRM خوب فقط به معنی استقرار پیشرفته ترین فایروال یا پیچیده ترین رمزگذاری نمی باشد. بلکه بر درک این موضوع که مردم و نیروی کار بخشی جدایی ناپذیر از استراتژی امنیت سایبری یک سازمان هستند ، تاکید دارد.
در هر سازمانی ، وجود یک برنامه جامع آگاهی رسانی امنیت اطلاعات برای آموزش کارکنان از تهدیداتی که ممکن است در محل کار با آنها مواجه شوند، الزامی می باشد . بر اساس یک گزارش در سال 2023، 74 درصد از تمام نقضها شامل خطاهای انسانی میشود، چه به صورت نیت مخرب و یا سهل انگاری. بنابراین کارکنان یکی از مهمترین عامل رخنههای سایبری می باشند .
اولین گام در مدیریت ریسک انسانی، انجام ارزیابی ریسک برای شناسایی عوامل خطر در سازمان است.برای موفقیت، یک تحلیلگر ریسک باید احتمال سوء استفاده از یک آسیب پذیری و تأثیر آن را ارزیابی کند. جهت یافتن منابع تهدید در یک کسب و کار ، تیم عملیات امنیتی باید درگیر کشف اسناد مربوط به حوادث سایبری، اطلاعات تهدیدات و طرحهای کاهش از ممیزیهای گذشته باشد. همچنین تیم عملیات امنیتی کاربران را در مورد احتمال نفوذ آزمایش می کند، به عنوان مثال، از طریق تمرین های شبیه سازی فیشینگ. هنگامی که یک ارزیاب این اطلاعات را داشته باشد، می تواند یک ثبت ریسک برای اولویت بندی بالاترین عوامل خطر ایجاد کند.
یکی دیگر از جنبه های کلیدی مدیریت ریسک انسانی، ردیابی فعالیت های کارکنان است. در حالی که تقویت اعتماد با کارکنان ضروری است، همچنین لازم است تدابیری برای شناسایی اشتباهات یا رفتار بد کارمندان وجود داشته باشد. نرم افزار نظارت بر کارکنان می تواند این رفتار را ردیابی کند و تیم فناوری اطلاعات را در مورد فعالیت مشکوک یا مخاطره آمیز مانند نشت داده ها آگاه کند. ارزیابیهای دورهای فناوری اطلاعات یا ممیزیهای فعالیت کارکنان به شناسایی شکافهای امنیتی بالقوه یا نقاط ضعف کمک میکند. مانند هر نوع ریسک دیگری، باید به طور پیشگیرانه به ریسک انسانی نیز پرداخته شود.
یک برنامه موفق امنیت اطلاعات نیازبه منابع اختصاصی برای توسعه، اجرا و حفظ برنامه دردرازمدت دارد. کارشناسانی که ریسک را درک می کنند و می توانند به طور موثر با سطوح مختلف سازمان ارتباط برقرار کنند . این افراد می توانند مطالب مرتبط با ریسک شناسایی شده و ماموریت و اهداف شرکت را توسعه دهند. همینطور، یک برنامه خوب بدون بودجه نمی تواند شکوفا شود. یک برنامه جامع امنیتی با هدف قرار دادن ریسک حیاتی نیاز به بودجه برای آموزش های آگاهی رسانی ، استقرار نرم افزارها و الزامات کاهش ریسک دارد.
