随着越来越多的企业上云,越来越多的员工在开展业务的过程中使用文件共享和云存储服务,有效沟通与云计算相关的固有安全风险势在必行。对此,昆明亭长朗然科技有限公司信息安全研究员董志军表示:云应用程序使员工能够创建、存储和控制比以往更多的数据,但这些新功能增加了敏感数据的风险。因此,必须更加关注将数据安全措施扩展到云端来满足云计算应用的要求。

有效的云数据保护始于对员工进行有关在云中共享和存储信息的风险的教育。话说回来,如何才能最好地将这些风险与适当的安全措施一起,传达给处于现代云环境中的员工们呢?当今的安全领导者如何处理围绕云中数据保护的员工安全意识教育问题?

在国家层面,保密行政管理部门(保密局)的做法虽然简单粗暴,但是却非常有效,即杜绝涉及国家秘密的信息系统与互联网连接,这种做法无疑值得企业界在敏感数据、商业秘密以及知识产权保护方面学习和效仿。然而,同时,企业更需要考虑的是商业效率,时间就是效率,速度就是金钱,云计算无疑是躲避不开的。那么,与客户、合作伙伴、分销商、供应商等渠道传达文件、推进业务信息流的最佳方式何在?如何共享和云存储的安全风险?

一、公司应制定安全意识培训计划,为所有员工提供与安全相关问题的持续和定期培训。一些公司通过每月发送电子邮件来执行此操作,其他公司要求亲自参加演示,而其他公司则提供在线视频和演示后评估。这些方法都可以!通过在线培训活动,可以让员工随时随地在线学习指定的课程。昆明亭长朗然科技有限公司提供一些标准化的课程,从我们的课程库中选择标准化课程,或者挑选适用的模块进行灵活组合,可以符合预算的价格,快速发起培训活动。

二、公司还应制定涵盖广泛主题的可接受使用政策 (AUP)。传统上,可接受使用政策涵盖了可接受的电子邮件使用和公司计算机系统的个人使用。近年来,大多数公司都更新了该政策,以解决诸如社交媒体、个人智能手机、平板电脑的使用、云存储的使用和文件共享服务等新出现的课题。虽然所有公司都应该有数据分类和数据处理政策,但现实情况是,很少有公司拥有这样的政策,不过,这种情况撑不了多久啦。《数据安全法》及《个人信息保护法》相关条款对数据处理者提出了国际通用的要求,数据处理策略应该告诉用户他们可以在哪里存储不同类型的公司数据、需要哪些保护以及使用未列出的替代方案需要哪些授权。问题解决之道是早有借鉴的了,法规的实施落地只是时间的早晚。

三、公司应该加强安全意识培训计划,良好的安全意识计划通常会利用最近吸引媒体报道的世界各地事件。及时使用此类案例(警示),作为安全意识的一部分,培训会非常有效。它可能会让员工提出问题并检查他们的配置。使用这些类型的案例(情景)时,应将它们作为起点。培训应引导员工思考如果公司数据存储在相同或类似系统上的潜在影响。这就又回到我们的云存储主题,如果员工将敏感数据存储在云盘上并将其泄露,则可能会对公司产生毁灭性的影响。这表明在使用这些服务时失去了用户控制。这些服务的用户完全依赖于第三方提供商的能力、能力和企业目标。

四、公司应该防微杜渐,当下最大的问题之一是,如果没有培训,员工通常可能不知道他们的数据存储在哪里。许多手机应用程序提供与各种基于云的存储系统的紧密集成。在许多情况下,应用程序供应商或手机供应商可能无法向用户提供足够的信息,让他们了解数据的存储位置、谁可以访问数据、数据可以保留多长时间或安全控制措施到位以保护信息。不过,这个问题也在《数据安全法》及《个人信息保护法》法规的治理之下,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等,包括重要国民应用和大牌手机供应商的云端服务。只要被纳入关键信息基础设施运营者范围,就需遵从关键信息基础设施运营者的安全保护规定进行合规管理。对于这些公司企业来讲,无疑,也需要让员工意识到风险。阿里、腾讯、美团等互联网大厂只要有一名员工在数据安全方面胡乱作为,就可能闹得满城风雨、天下皆知,进而给监管机关借口和压力,下重手进行整治行动。

五、公司应该采取合适的安全培训策略,除了前面所述的使用标准化课程或选择模块之外,还可以进行培训内容的自定义,有一些服务商可开发新课程或针对具体的需求进行内容定制。当然,如果内部人员力量充足,也可以自行创建课程内容,以满足独特的培训目标。此外,昆明亭长朗然科技有限公司也有专业的学习服务团队,可以为您提供课程设计与课件制作服务。

六、公司应该“以毒攻毒”,使用云应用,攻击云漏洞。贵司有学习管理系统吗?我们的课程符合 SCORM标准,也有MP4视频和HTML资源,可在所有 LMS(学习管理系统)上使用。贵司需要部署云端或内部学习管理系统吗?我们可以提供帮助。

总之,解决云存储服务的难题,特别是防止职员们在使用公有云服务的过程中泄密,需要有效沟通与云计算相关的固有安全风险,不过这些并不足够,因为不能简单“头痛医头、脚痛医脚”,要全面地实施安全意识教育计划,方可强化人员的力量和群众的智慧,堵住各种可能的泄密渠道。昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。