公司网络安全面临的最大威胁不是那些在影视作品中出现的黑暗、戴兜帽的黑客人物。对此,昆明亭长朗然科技有限公司网络安全专员董志军称:那些人物当然只是糊弄观众的演员而已,根本称不上是黑客。真正的黑客看上去就和普通人一样,只要有兴趣有动力,谁都可能成为黑客。再者,黑客有不同的帽子,黑帽是坏人、白帽是好人、灰帽不好不坏或者说又好又坏。当然,这也只是个理论,现实中哪有非黑即白的好人或坏人?几乎人人都有好的时候或方面,也都有坏的时候或方面,可以说,都是灰色的。
话说回来,网络安全的最大威胁是组织机构内部的员工。员工代表着公司——易受攻击的一方,员工可能会被不法分子利用,以未经授权的方式访问公司的信息系统。由于缺乏安全意识或不知情、粗心大意的错误以及未能严格遵守公司的网络安全政策,员工们可能充当网络犯罪分子的跳板或者帮凶,导致数据泄露和针对公司的网络攻击。既然最大威胁来自内部员工,那么,通过正确的方法,将威胁转变为防线,员工可以主动积极地为公司的网络安全做出贡献,公司也就有可能减少员工构成的安全威胁。
首先将网络安全意识和政策介绍作为员工入职流程的一部分,然后进行持续且引人入胜的合规培训,公司可以遏制员工的漏洞并将其转化为安全资产。
从第一天起,员工就必须明白,如果不遵守公司政策并将公司数据置于风险之中,他们可能会丢掉工作。正如孙子在他的《孙子兵法》一书中所说:“约束不明,申令不熟,将之罪也;既已明而不如法者,吏士之罪也。”安全意识和政策介绍必须在任何时候都非常清楚明白,从组织机构的角度来看,提供培训无疑是安全人员的工作。无论大小,各类型的组织机构基本上都会对新入职员工进行各种各样的入职培训,其中最重要的是为了完成工作的业务知识和技能培训,信息安全意识也应成为一项,并且应该融入到业务流程之中。
在商业环境中,商务笔记本电脑可能值不了多少钱。但是如何向员工们强调必须非常小心地使用笔记本电脑呢?如果我们丢失了商务笔记本电脑,那么它就变成了物理安全事件;损失可能包括笔记本电脑中的重要数据丢失或泄露,那么它就演变成了信息安全事件;由于数据泄露,造成公司信誉损害、客户流失、商业竞争失利,那么它就进一步演变成了公共关系事件和灾难恢复事件。这样讲,员工们就会明白,笔记本电脑要保护好,特别是出差在外或在家办公时,要看好电脑,因为一旦丢失,连带的损失会危及公司的赢利、竞争力甚至生存。
在另一个互联网及邮件安全教学的例子中,如果我们在访问网站或电子邮件时不小心并且让机器受到了病毒感染,那么它就会成为信息安全事件;如果病毒加密了电脑中的数据并且进行勒索,那么它就演变成了商业勒索事件;如果病毒悄悄将机器中的重要内部甚至敏感商业数据发送给了网络间谍或竞争对手,那么它就进一步演变成了商业秘密盗窃事件。这样讲,员工们就会认识到,自己不经意的点击,可能会导致公司遭受赎金勒索,甚至导致内部机密信息被竞争对手盗窃。于是便会在日常工作中特别注意辨识可疑网络链接并避免点击。
其次,要认识到安全是一项共同责任,所有员工都必须清楚地了解这一点。员工必须区分商务笔记本电脑和个人笔记本电脑。通过公私分明,员工们方能充分尊重和信任公司,致力于维护公司数据的完整性,不会滥用资源并始终遵守安全政策。
人类在安全方面发挥着重要作用,这就是人类防火墙概念必须以高效方式发挥作用的原因。当出现安全事件时,不要急于证明涉事员工们是犯了错误的,公司是一个整体,公司赚了大钱,员工们才能有高的分红或资金,反之亦然;我们需要使用一些额外的视角来帮助员工们改变他们的思维过程,让他们认识到同事们的安全失误也会给自己带来利益损失,自己的失误也会伤害到他人,无论何时自己都是责任的主体。这样,在看到安全弱点和隐患时,在遭遇安全事件时,就不会熟视无睹或袖手旁观,而是会及时地报告并采取积极的防范和响应措施。
最后,公司政策需要随着网络安全威胁而发展,培训和意识计划也应该相应地发展。安全意识培训不仅对员工的意识和行为改变有好处,而且其实施可使组织更加安全,并为他们未来可能面临的所有网络威胁做好准备。需要强调的是要了解安全意识培训的结果不会立竿见影,但是会对组织的安全防线有整体和累积的益处。
信息安全意识归结为基础知识,适用于任何工作领域和工作场景,不能局限于培训课堂或eLearning活动。例如:在点击网络链接之前,用户必须决定这样做是否安全。企业安全文化应该鼓励员工寻求帮助,比如询问资深同事、联系信息安全人员或与受人尊敬的经理等等,在工作中进行随时随地的沟通和交叉核对可以避免员工犯下严重错误。鼓励企业文化转变为关注网络安全的最佳方式是对员工进行最佳实践方面的持续培训和及时沟通。
在当今的数字时代,确保商业成功,让全员保持警惕,保持安全是关键!网络安全意识已成为确保工作场所安全不可或缺的一部分。通过强化入职培训、强调共同责任和持续常规培训,我们可以将信息安全意识融入业务流程,构筑全面的人员网络安全防火墙。
昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),以帮助客户构建完善的全员安全防护体系。欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。