讓員工成為安全解決方案,而非安全隱患

晚來風急發表於2017-08-02

儘管全球有數十億美元的資金投入到了安全解決方案上,但所有企業使用者都仍然覺得安全是個大問題。技術在增進人類福祉的同時,也給人們帶來了全新的安全困擾和挑戰。防範企業安全風險看起來是一項“技術活”,但其實無論是安全攻防還是技術對抗,網路安全領域的自然法則其實與“人“息息相關。

過去這幾年,越來越多的企業利用移動辦公解決方案打造了更加敏捷、高效的辦公環境,卻也同時帶來新的風險,如安全漏洞增多、網路攻擊加劇等。資料顯示,中國企業使用者面臨的安全狀況日益嚴峻,他們更容易受到網路攻擊,其脆弱性是其他亞洲經濟體的9倍。

在網路安全危機的推動下,國內企業不斷更新部署前沿、加固的IT基礎設施,以保護資料、資產安全和企業品牌。從熱門的機器學習、人工智慧,到基於雲的監控和分析技術,中國企業使用者採用了很多最新的解決方案,以抵禦網路犯罪。然而,這類方案實施的有效性卻取決於一項容易被忽視的因素,即企業組織的重要部分——員工。

隨著BYOD靈活辦公的普及,在保護企業的資料、應用、智慧財產權等安全時,員工常常成為最大的安全威脅。

員工對IT安全政策的疏忽,以及對網路威脅的漠不關心是雲安全最大的障礙之一。員工,顯然對安全問題缺乏充分的瞭解,調查顯示,幾乎2/3的企業將“員工缺乏網路安全知識”歸結為最大的內部威脅,公司內僅有1/10員工的完全瞭解網路攻擊實施的全過程。

近期思傑和波耐蒙研究所(Ponemon Institute)針對IT安全基礎設施所展開的一項題為《全球調查:需要一種新的IT安全架構》的全球調查顯示,超過一半(66%)的被訪者表示,由於操作太過複雜,員工和第三方會選擇繞過安全策略和技術。事實上,這種複雜性更會加劇“影子IT裝置或軟體”的增多,它們不受IT管理員監管。

缺乏安全培訓和安全意識不足常常導致兩種截然不同的結果——知道自己遭遇了黑客入侵,以及完全不知道自己的網路被入侵。如果企業員工沒有充分了解到攻擊是如何發生的,既沒有采取措施保護資料安全,也不會對網路風險進行監控並向IT管理人員求助,那麼遭受網路攻擊的隱患就會一直存在。

企業怎樣才能既讓員工享有移動、高效、便捷的工作方式,又確保資料、應用和具備競爭優勢的智慧財產權的儲存安全?企業該如何提倡靈活、積極的IT安全管理文化,又該如何通過增加培訓來提升員工的安全意識?

讓員工成為安全解決方案,而非安全隱患

首先,企業確保把安全問題放在第一位,並使安全性要求牢牢植根於業務流程之中。安全要求需要嵌入到企業的日常運作中,讓“人體防火牆”發揮作用,讓員工成為安全解決方案,而不成為是安全隱患的組成部分。

嚴格說來,應該在公司制定從上到下的安全策略,讓儘可能多的部門員工、利益相關方提出意見和建議,網路安全問題人人有責。集中開展安全講座,每年應該組織至少一次以上的常規培訓。

開展有趣的網路安全教育活動,資料洩露事件與社會工程學事件和魚叉式網路釣魚攻擊有關。網路釣魚攻擊通常是電子郵件釣魚,騙取受害者點選惡意連結,有些企業據此“定製”了假的釣魚郵件,將郵件傳送給員工,使IT團隊能夠了解哪些員工更容易受到攻擊,從而為這些員工提供額外的培訓,幫助他們瞭解如何發現更復雜的欺詐和騙局。

我們提倡企業有責任為所有員工提供必要的工具、指導和培訓,以提升員工保護企業安全的主觀能動性。通過提供認證、全面的課程培訓以及免費的學習機會,提高員工識別潛在攻擊並及時做出響應的能力。

激勵員工守護企業網路安全

進一步說,企業還應該讓員工更加積極地參與到抵禦安全攻擊、維護網路安全的日常工作中去。明智的企業應該讓員工樹立安全觀——安全是發展的前提,也是發展的保障,員工必須幫助企業保護智慧財產權等資料安全,與企業共築網路安全防線。

與此同時,建立持久的安全保護意識,提倡員工學習安全知識,讓員工感到網路安全防護能力對個人成長至關重要。比如,此前提到的用“偽造”釣魚郵件“模擬”安全攻擊,就是幫助員工做好安全意識教育的一種方式,旨在培養員工識別潛在攻擊的能力。

這種模擬安全攻擊是行之有效的培訓工具,既可以測試企業員工遇到威脅、受到攻擊時的反應,也可以作為一種互動式的員工培訓活動,向員工介紹最佳實踐和安全做法,激勵員工創造一種自然抵制安全威脅的公司文化,減少大規模安全事件的發生機率。

這種方法同時能夠賦予企業員工更大的預防攻擊的責任,每個人都可以培養出相應的安全習慣和意識,共同推進和保護企業網路安全。

自下而上保護資料安全

員工的安全意識很重要,但採取協作和移動辦公的新員工們,不僅需要培養安全防護知識,更應該獲得具有保障的技術基礎設施,以確保應用、資料等安全。沒有這樣的IT安全基礎設施,任何“有安全意識的”企業文化本質上都是脆弱的。

為了應對網路威脅格局的日新月異,安全的核心技術支柱應該包括:身份和訪問安全、網路安全、應用安全、資料安全以及監控和響應。企業歷經數十年已經學會了一些基本措施、應急響應機制以及更為規範的安全流程,滿足企業安全需求的解決方案,可以為企業使用者全盤提供企業、網路、應用、資料直至員工的相關安全培訓。最終讓員工能夠在任何地方安全、高效工作的同時,還能兼顧滿足隱私、合規和安全風險管理的要求。

網路威脅的不斷演變推進了安全技術的發展,在媒體和公眾對網路安全持續關注、移動辦公方式越來越流行的今天,企業只有積極主動開展培訓並充分提升員工的安全意識,同時加固IT基礎設施,才能真正增強網路安全信心。

這對所有企業而言,都是切實可行並能夠實現的,隨著數字化轉型的加劇、網際網路+的盛行、監管環境的變化,網路安全不僅對我們的工作、企業安全非常重要,而且對國家安全、國際事務的影響也不斷增大,這些因素都將促使企業更加積極主動地升級保護措施,從“人“和技術兩個方面增強安全性和可持續性。

原文釋出時間為:2017年6月8日

本文來自雲棲社群合作伙伴至頂網,瞭解相關資訊可以關注至頂網。


相關文章