我们常常用安全设备强化我们的基础网络的安全,在这个方面我们无论多么重视,都无可厚非,而且必要性是毋庸置疑的。但是,我们更应该明白,一切信息安全的因素,最终还是要归结到:人。
大多数企业员工,其实并不意识到自己在网络信息风险中的重要程度。虽然在职员工或离职员工,对企业有时会不满意,以至于驱使他们利用自己手中的信息权限,做一些对企业不利的事情,通常这个冒险是不值得的。因为个人的权限,一般在策略中都能体现,溯源很容易,得不偿失。所以,我们常说安全意识是网络安全的第一道关卡。
真实网络世界的情况,中小企业的网络安全除了来自具有主动攻击的网络犯罪分子外,造成信息安全隐患的另一个方向是“内部员工”。这是超过一半IT专家一致的观点与看法。在Keeper Security和Ponemon研究所的一项调查报告中,再次支持了这种观点与看法。
现在的用户喜欢利用各类个人设备,以期达到随时随地利用不安全网络访问云应用。近一半的关键业务应用程序,是可以通过平板电脑和智能手机访问的,因此员工有可能在不知情的情况下,已经意外泄露了企业的机密信息。而最令人担忧的攻击模式是钓鱼网络。根据Keeper Security研究指出,在报告撰写完成的过去一年里,54%的中小型企业遭受过网络攻击,而其中79%的攻击就是网络钓鱼。
我们也可以从中认识到问题的关键所在,那么公司如何解决基于员工带来的网络信息威胁呢?
第一是要认识主要驱动因素。无聊的员工是数据安全的第一大风险存在。这是不无道理的,无聊的员工为了消磨时间,容易被一些网络信息吸引,进而被钓鱼网络攻击。工作中的员工一般不会把注意力分散到其他无关的地方,是能够减少成为潜在威胁可能的,对网络钓鱼有一定的免疫力。
另外就是缺乏必要的安全技能与安全意识培训。很多网络钓鱼信息内容非常精彩,伪装也非常好,甚至看到的可能像正规公司的内部邮件地址。加上员工,有时会因受到领导或财务部门的紧急邮件带来的社会压力,会毫不犹豫的进入了钓鱼网络。此时,即使他们意识到被钓鱼了为时已晚,又因为担心被责罚以及有面临炒鱿鱼的可能,他们也不愿意或不敢向IT部门或领导汇报此事。
认识到面临的问题,那么我们就要考虑如何解决问题。无论这些中小企业在培训和教育方面投资多少,在解决员工带来安全隐忧这块内容,是没有完美的解决方案的,但却可以显著降低总体风险。以进行明确的培训实践作为开始,向员工介绍展示网络钓鱼的形式,然后提供真实的场景及信息,协助他们辨别真假内容。明确责任风险,对存在可疑形式邮件可以采取不做回复或通过其他途径确认邮件真实性,当然要不必担心因不回复可疑邮件受到惩罚性措施,即使这个结果确认这是一个正常邮件。
由于中小型企业,业务繁忙需要保持全面运作,才能在市场中保持竞争力,员工处于高风险运作中,很少能够联系IT人员或向邮件发件人进行验证。然而如果管理层、IT人员和普通员工,在此问题上能够达成一种共识,则可以避免大多数网络钓鱼的风险。
移动设备的管理策略同样重要。中小型企业为了提高效率,大多数是允许员工使用个人设备来工作的。因此IT团队需要在设置远程访问的同时,根据需要限制用户的文件访问。并在有可能情况下,提供虚拟专用网络(VPN),培训员工有关公共WIFI面临风险的知识,亦可一定程度上提升企业网络安全性。
现实问题摆在面前中小企业面前,网络安全威胁正呈现上升趋势,而内部员工是问题的根源。这也更贴合我国当下倡导的网络安全理念,所谓“网络安全为人民,网络安全靠人民”,一个企业是所有员工的平台支撑,所以网络安全是为这个平台的每一个员工服务,而同时网络安全也需要依靠所有员工共同去努力。
所有的安全面向其实都是以人作为参照系,同样安全也是服务于其范围内的人。在中小型企业中,人的身份以员工作为体现形式。所以在中小型企业中,网络安全的主体自然是员工。而员工对于维护本企业的网络安全,也具有天然的义务与责任。同时作为企业领导制定明确的培训与管理政策,来支持企业网络安全,也是必要行为。
如果你是一个员工,必须明白一个员工应当负担的网络安全的义务与责任,以这篇文章作为锲子,提醒领导加强企业安全;如果阁下是一位领导,自然更应该负担网络安全的义务与责任,也有必要提醒员工共同维护企业这个平台健康的运作。为了企业在未来信息化发展中,能够健康稳固发展,长远的视野去看问题,网络信息安全是一项持之以恒的工作。只有员工与领导共同组建了一个防护体系,企业才能降低面临的网络安全风险。
无论你是员工还是领导,我都希望通过这篇文章,引起你对自身企业网络安全的重视。这篇文章是推荐给老板和具有主人翁精神的好员工的。
后记:前几天参加卡巴斯基网络安全研讨会时,河南地区的服务负责人谷燕兵先生谈到了网络安全意识的提高过程中,着重强调了作为IT高手的麻痹大意,可能引发的网络风险的一些观点。这方面,广义的讲我很赞同谷总的看法,IT人员的轻敌心态其实也属于网络安全意识,而且在众多员工中其安全意识应该是重中之重,最后反而他们麻痹大意了,势必给网络安全带来极大的风险。那些说我们是内网,不可能受到攻击,就应该考虑一下震网病毒是如何颠覆全世界人的网络安全观的,伊朗因核能研究面对强大的美国压力,其核电设施在美以打击范围内,其以一国之力建设的核电厂,其网络安全应该是可谓密不透风的,然而百密一疏的是伊朗的核设施被攻击了,而且是全世界第一例核电被成功攻击的案例。这个我还是提议朋友们可以看一下《Zero Day》
往期回顾
|
……往期也精彩…… 分享是美德,传播是善良 |
……更多精彩 持续更新……
原文始发于微信公众号(鼎信安全):员工:是中小型企业信息安全的第一主体
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论