企業(yè)第一道防線(xiàn):用戶(hù)安全的最佳做法

責(zé)任編輯:editor007

2015-03-30 16:48:56

摘自:網(wǎng)界網(wǎng)

大多數(shù)首席信息官都能夠很好地保護(hù)網(wǎng)絡(luò)、加密敏感數(shù)據(jù),并保持客戶(hù)信息的安全,但他們可能忽略一個(gè)明顯的漏洞:最終用戶(hù)。最終用戶(hù)應(yīng)該積極參與企業(yè)的安全策略,而不是在他們不明白這些最佳做法背后的原因時(shí)盲目聽(tīng)從命令,”

大多數(shù)首席信息官都能夠很好地保護(hù)網(wǎng)絡(luò)、加密敏感數(shù)據(jù),并保持客戶(hù)信息的安全,但他們可能忽略一個(gè)明顯的漏洞:最終用戶(hù)。

讓最終用戶(hù)安全地思考

網(wǎng)絡(luò)教育提供商Cybrary安全專(zhuān)家兼主題專(zhuān)家(SME)Anthony Harris表示:“你已經(jīng)投資了尖端的安全軟件,你擁有很棒的IT人才,但你也要考慮最終用戶(hù)。營(yíng)銷(xiāo)人員、銷(xiāo)售人員、管理人員等最終用戶(hù)通常完全沒(méi)有準(zhǔn)備好應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)詐騙、社會(huì)工程計(jì)劃,他們往往是造成數(shù)據(jù)泄露事故的原因。”

安全解決方案供應(yīng)商Clearswift公司產(chǎn)品高級(jí)副總裁Guy Bunker表示,用戶(hù)是你最薄弱的環(huán)節(jié),但他們也可能成為你最大的資產(chǎn)。

Bunker表示:“對(duì)于安全,用戶(hù)既是最大的財(cái)富,也是最薄弱的環(huán)節(jié)。用戶(hù)‘知道’流程方面正在發(fā)生什么,以及遵守和被忽略的政策,他們可以是評(píng)估安全措施有效性的‘晴雨表’。”

Bunker稱(chēng):“對(duì)于不安全的流程,或者沒(méi)有預(yù)期安全的流程,尤其是如此。然而,用戶(hù)必須接受教育。例如,他們必須明白很多類(lèi)型的惡意軟件安裝在應(yīng)用程序中,需要進(jìn)一步的操作才能實(shí)現(xiàn)攻擊,例如,當(dāng)他們點(diǎn)擊一個(gè)鏈接,然后系統(tǒng)要求安裝某種軟件,這很可能是惡意軟件,所以他們需要將此事報(bào)告給IT或者遵循明確定義的流程。”

教育是關(guān)鍵

加強(qiáng)安全措施的最有效方法之一是讓最終用戶(hù)知道他們?cè)谄髽I(yè)安全最佳做法中的角色。Cybrary公司的Harris目前正在開(kāi)發(fā)一套課程來(lái)教導(dǎo)最終用戶(hù)如何識(shí)別最常見(jiàn)的威脅、在BYOD設(shè)備使用高強(qiáng)度密碼以及如何預(yù)防常見(jiàn)的安全泄露事故。

Harris稱(chēng):“我們主要專(zhuān)注于教育用戶(hù)如何應(yīng)對(duì)日常持續(xù)性威脅,我們希望最終用戶(hù)知道網(wǎng)絡(luò)釣魚(yú)電子郵件是什么樣子,以及他們可以如何檢查出這些社會(huì)工程策略的合法性。最終用戶(hù)應(yīng)該積極參與企業(yè)的安全策略,而不是在他們不明白這些最佳做法背后的原因時(shí)盲目聽(tīng)從命令,”

安全溝通

有效的安全教育應(yīng)該是雙向的。企業(yè)需要進(jìn)行定期的溝通以及信息共享,特別是圍繞有針對(duì)性攻擊的信息共享。圍繞安全的這些溝通不必是大型的會(huì)議,安全對(duì)話(huà)應(yīng)該是日常業(yè)務(wù)的一部分來(lái)幫助最終用戶(hù)了解安全是每個(gè)人都應(yīng)該關(guān)心的。

“你可以定期發(fā)送電子郵件、公告或簡(jiǎn)報(bào),或者提供更為正式的計(jì)算機(jī)或教師指導(dǎo)的教育和培訓(xùn)。你還可以提出個(gè)人化以及使用他們家庭生活的建議,”Bunker稱(chēng),“把媒體上刊登的報(bào)告(特別是成功的網(wǎng)絡(luò)釣魚(yú)攻擊等)作為實(shí)例,來(lái)幫助員工識(shí)別潛在的攻擊。”

可靠的戰(zhàn)略

安全解決方案提供商Blue Fountain Media公司Mike Ricotta稱(chēng),教育和培訓(xùn)還需要輔以強(qiáng)大的戰(zhàn)略和流程來(lái)應(yīng)對(duì)威脅。

“適當(dāng)?shù)陌踩珣?zhàn)略是很好的開(kāi)端,但執(zhí)行和維護(hù)最佳做法始終是運(yùn)營(yíng)人員的職責(zé),”Ricotta表示,“通常情況下,企業(yè)的漏洞不需要大量人才來(lái)維護(hù),有時(shí)候只需要確保你更新了最新軟件。由于社會(huì)工程仍然是入侵的主要方式,企業(yè)可以通過(guò)內(nèi)部流程、程序和權(quán)限來(lái)限制‘人為錯(cuò)誤因素’。”

技術(shù)是最后一道防線(xiàn)

當(dāng)然,世界上所有的教育不都是萬(wàn)無(wú)一失的解決方案??偸强赡艹霈F(xiàn)這樣的情況:最終用戶(hù)點(diǎn)擊他們不應(yīng)該點(diǎn)擊的鏈接,或者安裝惡意軟件或激活病毒。企業(yè)應(yīng)該部署一個(gè)計(jì)劃來(lái)快速報(bào)告、發(fā)現(xiàn)和消除這種問(wèn)題,以確保數(shù)據(jù)和信息的安全性。

Bunker說(shuō)道:“確保你的最終用戶(hù)知道在數(shù)據(jù)泄露事故發(fā)生時(shí)打電話(huà)給誰(shuí)以及如何報(bào)告數(shù)據(jù)泄露事故,因?yàn)榧词鼓惚M了最大努力,這種事故還是會(huì)發(fā)生。這個(gè)過(guò)程不一定很復(fù)雜,應(yīng)該類(lèi)似于消防演習(xí),人們知道怎么做。”

最后,教育還需要結(jié)合技術(shù);用戶(hù)可能是第一道防線(xiàn),而技術(shù)則是最后一道防線(xiàn)。企業(yè)應(yīng)該部署高級(jí)防病毒、反垃圾郵件和自適應(yīng)數(shù)據(jù)丟失防護(hù)解決方案來(lái)防止所有渠道的重要信息丟失。

Bunker表示:“教育、流程和技術(shù)相結(jié)合的解決方案可以幫助企業(yè)最大限度地減少信息安全風(fēng)險(xiǎn)。凡事預(yù)則立。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)