人性的弱點:2017年五大信息安全意識最佳實踐
數據泄露會愈演愈烈,企業為此也將投入更多,黑客們會通過更多途徑獲取敏感信息并以此賺錢。
從人性的角度看待信息安全問題,如何讓員工對抗企業信息安全面臨的風險,如何從培訓和教育角度入手,加強員工在安全意識方面的認知。下面是2017年關于企業安全意識方面的5類最佳實踐與策略。
一、施之所欲
2017年基于網絡的精準營銷會有很大躍升,源于用戶行為分析及環境學習在人群中的普及。
Gartner分析師Matthew Cain和Stephen Kleynhans認為,環境學習是以算法驅動,基于用戶行為分析客戶化后從而傳遞給用戶的信息。我們遇到的環境學習是日常生活中的,類似電子商務和視頻播放網站,通過用戶使用行為向其推薦相關內容。
在2017年,會有更多途徑知道用戶在做什么。這些層出不窮的技術揭示了更多存在于企業內部有關行為的風險,同時也意味著可以將更好的內容適時傳遞給適合的人。安全意識培養與企業自身獨特的風險結合越緊密就越有效。
二、微學習
作為對抗“遺忘曲線”最可行的方法,微學習會持續風靡,現在是時候開始了!
簡單來說,微學習是針對短期內、小規模學習內容最好的實踐方式。微學習背后的理論假定學習者只投入相對短的精力與時間。
在實踐中,微學習可以作為企業培訓實施策略的一種手段。比如,在信息安全領域,如果一名員工沒有妥善保存敏感文件,你可以對其開展一個簡單的微學習(播放一則小視頻)糾正過來。如此看來,微學習能夠在整體學習內容和實施中提供更大的靈活性。
為應對這個新潮流,安全意識廠商應著重提供內容覆蓋更廣泛、學習方式更多樣的產品給客戶。
三、對抗“安全疲勞”
2016年最有趣的研究之一是由國家標準技術委員會發布的,提出我們或多或少已經知道的:安全厭倦,這是真實存在的。
國家標準技術委員會認為一般用戶對實施安全防護措施感到厭倦,并且對他們日常習慣的操作會威脅自身與企業感到不可置信。重復使用同一密碼、任意連接公共場所的網絡、發送一份工作文檔到私人郵箱——說到底,這不就是我們嗎?所謂“安全疲勞”現象并非空穴來風。
對我們這些試圖克服安全疲勞的人來說,挑戰存在于如何將維護安全與信息的手段變得要么極端強制要么非常簡單易行,特別輕松就能完成以至于沒有理由不去做它。
如何正確完成這些還有待檢驗,但是我認為2017年能夠涌現更多比以往有創造性的措施解決這個問題。
四、注意你的高管
首席執行官和其他管理人員因其敏感信息可在黑市中變現,成為網絡犯罪最有吸引力的攻擊對象,這一標靶地位在2017年仍將繼續。高管在大多數企業中有最大特權,在公司網絡系統中有最高通行權限。
商業郵件欺詐(BEC)在2017年將會持續并產生變種,網絡犯罪者盜取高管的郵箱地址,他們自身也陷入詐騙轉賬中。在過去的三年,FBI公布首席執行官郵件欺詐使公司損失23億美元。
這是一個很現實的問題,對這些手握重權的人來說,自身時間和資源管理壓力巨大,以至于對社會十分敏感多情。所有的一切只需一個錯誤的點擊,就給予攻擊者盜取敏感客戶信息、記錄的機會。
問題是這些人過于忙碌,容易分心,也“過于聰明”以至于不需要參加常規性網絡安全培訓。這就是為何我們希望安全意識培訓能夠聚焦并為高層管理人士量身打造。高管們需要與普通員工一樣知曉安全信息課程,但應該通過更適合他們的方式來進行。
五、隱私保護 人人有責
在企業中隱私問題得到更大的聚焦,即將囊括在一般數據保護條例中。隱私安全的規范——由一般數據保護條例強制規定——將進入每個軟件產品與技術解決方案中,這也包括員工安全意識認知。
因為一般數據保護條例傳播廣泛,它將從原有隱私保護在高級行政管理水平延伸至普通員工中間。換言之,我們認為一般數據保護條例會鼓勵人人肩負起隱私保護的責任,原本就應該是這樣。
不僅是已經執行數據保護規定的公司,各行業的公司都會加入這個領域的討論中。
除此之外,條例中明文規定需要進行隱私意識培訓。例如,規定企業數據保護負責人要“安排員工安全意識培訓的操作。”在這些法規壓力下,企業應該在其經營管理中充分考慮隱私問題否則將付出代價。
下一個大的威脅什么?
麻煩在于,沒有人真的知道這威脅是什么。2016年末,我們看到IOT因為大型DDoS攻擊受到牽連,而這似乎還會繼續發生。
但有一件事我們更加確定,盡管不愿承認,接下來的攻擊會繞過技術防護并找到方式挖掘人性的弱點。面對這些挑戰,有一個主題將不會改變,那就是“網絡犯罪者會持續找到新的方式欺騙你的員工”。
你準備好了嗎?
