员工:是企业信息安全的第一主体
我们更应该明白,一切信息安全的因素,最终还是要归结到:人。
很多员工,并不能意识到自己在网络信息风险中的重要程度。在职员工或离职员工,对企业会时有不满,以至于利用自己手中的信息权限,做些对于人于己不利的事情,这不是冒险精神,是违法犯罪行为,是不值得的。个人的权限,一般在策略中都能体现,溯源不是太困难。
我们常说安全意识是网络安全的第一道关卡。
安全意识的主体乃人是也!无人自然无意识,无意识更无谈安全意识。
真实网络世界,网络安全有来自外部黑客攻击,而造成信息安全隐患的另一个方向是“内部员工”。
超过一半IT专家一致赞同这个观点。
现在人们利用各类个人设备,以期达到随时随地利用网络,但是时常会出现利用不安全网络访问云应用。据调查近一半的关键业务应用程序,是可以通过平板电脑和智能手机访问,员工有可能在不知情的情况下,意外泄露了企业的机密信息。最令人担忧的攻击模式是钓鱼网络。
公司该如何解决基于员工带来的网络信息威胁呢?
第一是要认识主要驱动因素。
无聊是数据安全的第一大风险存在。无聊的员工为了消磨时间,容易被一些网络信息吸引,被钓鱼网络攻击。工作中的员工一般不会把注意力分散到其他无关的地方,是能够减少成为潜在威胁对象可能性,对网络钓鱼有一定的免疫力。
第二是缺乏必要的安全技能与安全意识培训。
网络钓鱼一般内容非常精彩,伪装非常好,甚至看到的可能像正规公司的内部邮件地址。有时员工会因受到领导或财务部门的紧急邮件带来的社会压力,会毫不犹豫的点击钓鱼邮件。即使他们事后意识到被钓鱼了为时已晚员工又担心被责罚以及有面临炒鱿鱼的风险,也不愿意或不敢向IT部门或领导汇报此事。
认识到面临的问题,那么我们就要考虑如何解决问题。无论在培训和教育方面投资多少,在解决员工带来安全隐忧方面,是没有完美的解决方案的,却可以显著降低总体风险。
以培训实践开始,向员工展示网络钓鱼的形式,然后提供真实的场景及信息,协助其辨别真假信息。明确责任风险,对存在可疑形式邮件可以采取不做回复或通过其他途径确认邮件真实性,当然不能因此受到惩罚。其实,在于一些客户交流过程中,有时发件人也不太注意发件的规范性,既没有个人标识可以辨认也没有一个成型的邮件格式,这是非常不好的,也是因为缺少最起码的培训的。
由于企业业务繁忙需要保持全面运作,才能在市场中保持竞争力,员工处于高风险运作中,很少能够联系IT人员或向邮件发件人进行验证。如果企业管理层、IT人员和普通员工,在此问题上能够达成一种共识,则可以避免大多数网络钓鱼的风险。
大多数是允许员工使用个人设备来工作的。IT团队需要在设置远程访问的同时,根据需要限制用户的文件访问。并在有可能情况下,提供虚拟专用网络(VPN),培训员工有关公共WIFI风险常识,可一定程度上提升企业网络安全性。
我国当下倡导的网络安全理念,“网络安全为人民,网络安全靠人民”,一个企业是所有员工共有平台,网络安全是为每一个员工服务,同时网络安全也需要依靠所有员工共同去努力保护。
所有的安全问题归根结底以人作为参照系,同样安全也是服务于人。
在企业中,人的身份以员工作为体现形式。所以在企业中网络安全的主体自然是员工。员工对于维护本企业的网络安全,具有天然的义务与责任。同时作为企业领导制定明确的培训与管理政策,来支持企业网络安全,也是必要行为。
只有员工与领导共同组建了一个防护体系,企业才能降低面临的网络安全风险。
以前看数安科技谷燕兵先生谈到了网络安全意识的提高过程中,着重强调了作为IT高手的麻痹大意,可能引发的网络风险的一些观点。IT人员的轻敌心态其实也属于网络安全意识范畴,在众多员工中其安全意识应该是重中之重,如果他们反而麻痹大意了,势必给网络安全带来极大的风险。
那些说我们是内网,不可能受到攻击,就应该考虑一下震网病毒是如何颠覆全世界人的网络安全观的,伊朗因核能研究面对强大的美国压力,其核电设施在美以打击范围内,其以一国之力建设的核电厂,其网络安全应该是可谓密不透风的,然而百密一疏的是伊朗的核设施被攻击了,而且是全世界第一例核电被成功攻击的案例。
本文授权转载自:“祺印说信安”公众号,如需转载,请联系原作者。