數(shù)據(jù)泄露會愈演愈烈,企業(yè)為此也將投入更多,黑客們會通過更多途徑獲取敏感信息并以此賺錢。
從人性的角度看待信息安全問題,如何讓員工對抗企業(yè)信息安全面臨的風險,如何從培訓和教育角度入手,加強員工在安全意識方面的認知。下面是2017年關(guān)于企業(yè)安全意識方面的5類最佳實踐與策略。
一、施之所欲
2017年基于網(wǎng)絡的精準營銷會有很大躍升,源于用戶行為分析及環(huán)境學習在人群中的普及。
Gartner分析師Matthew Cain和Stephen Kleynhans認為,環(huán)境學習是以算法驅(qū)動,基于用戶行為分析客戶化后從而傳遞給用戶的信息。我們遇到的環(huán)境學習是日常生活中的,類似電子商務和視頻播放網(wǎng)站,通過用戶使用行為向其推薦相關(guān)內(nèi)容。
在2017年,會有更多途徑知道用戶在做什么。這些層出不窮的技術(shù)揭示了更多存在于企業(yè)內(nèi)部有關(guān)行為的風險,同時也意味著可以將更好的內(nèi)容適時傳遞給適合的人。安全意識培養(yǎng)與企業(yè)自身獨特的風險結(jié)合越緊密就越有效。
二、微學習
作為對抗“遺忘曲線”最可行的方法,微學習會持續(xù)風靡,現(xiàn)在是時候開始了!
簡單來說,微學習是針對短期內(nèi)、小規(guī)模學習內(nèi)容最好的實踐方式。微學習背后的理論假定學習者只投入相對短的精力與時間。
在實踐中,微學習可以作為企業(yè)培訓實施策略的一種手段。比如,在信息安全領域,如果一名員工沒有妥善保存敏感文件,你可以對其開展一個簡單的微學習(播放一則小視頻)糾正過來。如此看來,微學習能夠在整體學習內(nèi)容和實施中提供更大的靈活性。
為應對這個新潮流,安全意識廠商應著重提供內(nèi)容覆蓋更廣泛、學習方式更多樣的產(chǎn)品給客戶。
三、對抗“安全疲勞”
2016年最有趣的研究之一是由國家標準技術(shù)委員會發(fā)布的,提出我們或多或少已經(jīng)知道的:安全厭倦,這是真實存在的。
國家標準技術(shù)委員會認為一般用戶對實施安全防護措施感到厭倦,并且對他們?nèi)粘A晳T的操作會威脅自身與企業(yè)感到不可置信。重復使用同一密碼、任意連接公共場所的網(wǎng)絡、發(fā)送一份工作文檔到私人郵箱——說到底,這不就是我們嗎?所謂“安全疲勞”現(xiàn)象并非空穴來風。
對我們這些試圖克服安全疲勞的人來說,挑戰(zhàn)存在于如何將維護安全與信息的手段變得要么極端強制要么非常簡單易行,特別輕松就能完成以至于沒有理由不去做它。
如何正確完成這些還有待檢驗,但是我認為2017年能夠涌現(xiàn)更多比以往有創(chuàng)造性的措施解決這個問題。
四、注意你的高管
首席執(zhí)行官和其他管理人員因其敏感信息可在黑市中變現(xiàn),成為網(wǎng)絡犯罪最有吸引力的攻擊對象,這一標靶地位在2017年仍將繼續(xù)。高管在大多數(shù)企業(yè)中有最大特權(quán),在公司網(wǎng)絡系統(tǒng)中有最高通行權(quán)限。
商業(yè)郵件欺詐(BEC)在2017年將會持續(xù)并產(chǎn)生變種,網(wǎng)絡犯罪者盜取高管的郵箱地址,他們自身也陷入詐騙轉(zhuǎn)賬中。在過去的三年,F(xiàn)BI公布首席執(zhí)行官郵件欺詐使公司損失23億美元。
這是一個很現(xiàn)實的問題,對這些手握重權(quán)的人來說,自身時間和資源管理壓力巨大,以至于對社會十分敏感多情。所有的一切只需一個錯誤的點擊,就給予攻擊者盜取敏感客戶信息、記錄的機會。
問題是這些人過于忙碌,容易分心,也“過于聰明”以至于不需要參加常規(guī)性網(wǎng)絡安全培訓。這就是為何我們希望安全意識培訓能夠聚焦并為高層管理人士量身打造。高管們需要與普通員工一樣知曉安全信息課程,但應該通過更適合他們的方式來進行。
五、隱私保護 人人有責
在企業(yè)中隱私問題得到更大的聚焦,即將囊括在一般數(shù)據(jù)保護條例中。隱私安全的規(guī)范——由一般數(shù)據(jù)保護條例強制規(guī)定——將進入每個軟件產(chǎn)品與技術(shù)解決方案中,這也包括員工安全意識認知。
因為一般數(shù)據(jù)保護條例傳播廣泛,它將從原有隱私保護在高級行政管理水平延伸至普通員工中間。換言之,我們認為一般數(shù)據(jù)保護條例會鼓勵人人肩負起隱私保護的責任,原本就應該是這樣。
不僅是已經(jīng)執(zhí)行數(shù)據(jù)保護規(guī)定的公司,各行業(yè)的公司都會加入這個領域的討論中。
除此之外,條例中明文規(guī)定需要進行隱私意識培訓。例如,規(guī)定企業(yè)數(shù)據(jù)保護負責人要“安排員工安全意識培訓的操作。”在這些法規(guī)壓力下,企業(yè)應該在其經(jīng)營管理中充分考慮隱私問題否則將付出代價。
下一個大的威脅什么?
麻煩在于,沒有人真的知道這威脅是什么。2016年末,我們看到IOT因為大型DDoS攻擊受到牽連,而這似乎還會繼續(xù)發(fā)生。
但有一件事我們更加確定,盡管不愿承認,接下來的攻擊會繞過技術(shù)防護并找到方式挖掘人性的弱點。面對這些挑戰(zhàn),有一個主題將不會改變,那就是“網(wǎng)絡犯罪者會持續(xù)找到新的方式欺騙你的員工”。
你準備好了嗎?