資料洩露會愈演愈烈,企業為此也将投入更多,黑客們會通過更多途徑擷取敏感資訊并以此賺錢。
從人性的角度看待資訊安全問題,如何讓員工對抗企業資訊安全面臨的風險,如何從教育訓練和教育角度入手,加強員工在安全意識方面的認知。下面是2017年關于企業安全意識方面的5類最佳實踐與政策。
一、施之所欲
2017年基于網絡的精準營銷會有很大躍升,源于使用者行為分析及環境學習在人群中的普及。
gartner分析師matthew cain和stephen kleynhans認為,環境學習是以算法驅動,基于使用者行為分析客戶化後進而傳遞給使用者的資訊。我們遇到的環境學習是日常生活中的,類似電子商務和視訊播放網站,通過使用者使用行為向其推薦相關内容。
在2017年,會有更多途徑知道使用者在做什麼。這些層出不窮的技術揭示了更多存在于企業内部有關行為的風險,同時也意味着可以将更好的内容适時傳遞給适合的人。安全意識培養與企業自身獨特的風險結合越緊密就越有效。
二、微學習
作為對抗“遺忘曲線”最可行的方法,微學習會持續風靡,現在是時候開始了!
簡單來說,微學習是針對短期内、小規模學習内容最好的實踐方式。微學習背後的理論假定學習者隻投入相對短的精力與時間。
在實踐中,微學習可以作為企業教育訓練實施政策的一種手段。比如,在資訊安全領域,如果一名員工沒有妥善儲存敏感檔案,你可以對其開展一個簡單的微學習(播放一則小視訊)糾正過來。如此看來,微學習能夠在整體學習内容和實施中提供更大的靈活性。
為應對這個新潮流,安全意識廠商應着重提供内容覆寫更廣泛、學習方式更多樣的産品給客戶。
三、對抗“安全疲勞”
2016年最有趣的研究之一是由國家标準技術委員會釋出的,提出我們或多或少已經知道的:安全厭倦,這是真實存在的。
國家标準技術委員會認為一般使用者對實施安全防護措施感到厭倦,并且對他們日常習慣的操作會威脅自身與企業感到不可置信。重複使用同一密碼、任意連接配接公共場所的網絡、發送一份工作文檔到私人郵箱——說到底,這不就是我們嗎?所謂“安全疲勞”現象并非空穴來風。
對我們這些試圖克服安全疲勞的人來說,挑戰存在于如何将維護安全與資訊的手段變得要麼極端強制要麼非常簡單易行,特别輕松就能完成以至于沒有理由不去做它。
如何正确完成這些還有待檢驗,但是我認為2017年能夠湧現更多比以往有創造性的措施解決這個問題。
四、注意你的高管
首席執行官和其他管理人員因其敏感資訊可在黑市中變現,成為網絡犯罪最有吸引力的攻擊對象,這一标靶地位在2017年仍将繼續。高管在大多數企業中有最大特權,在公司網絡系統中有最高通行權限。
商業郵件欺詐(bec)在2017年将會持續并産生變種,網絡犯罪者盜取高管的郵箱位址,他們自身也陷入詐騙轉賬中。在過去的三年,fbi公布首席執行官郵件欺詐使公司損失23億美元。
這是一個很現實的問題,對這些手握重權的人來說,自身時間和資源管理壓力巨大,以至于對社會十分敏感多情。所有的一切隻需一個錯誤的點選,就給予攻擊者盜取敏感客戶資訊、記錄的機會。
問題是這些人過于忙碌,容易分心,也“過于聰明”以至于不需要參加正常性網絡安全教育訓練。這就是為何我們希望安全意識教育訓練能夠聚焦并為高層管理人士量身打造。高管們需要與普通員工一樣知曉安全資訊課程,但應該通過更适合他們的方式來進行。
五、隐私保護 人人有責
在企業中隐私問題得到更大的聚焦,即将囊括在一般資料保護條例中。隐私安全的規範——由一般資料保護條例強制規定——将進入每個軟體産品與技術解決方案中,這也包括員工安全意識認知。
因為一般資料保護條例傳播廣泛,它将從原有隐私保護在進階行政管理水準延伸至普通員工中間。換言之,我們認為一般資料保護條例會鼓勵人人肩負起隐私保護的責任,原本就應該是這樣。
不僅是已經執行資料保護規定的公司,各行業的公司都會加入這個領域的讨論中。
除此之外,條例中明文規定需要進行隐私意識教育訓練。例如,規定企業資料保護負責人要“安排員工安全意識教育訓練的操作。”在這些法規壓力下,企業應該在其經營管理中充分考慮隐私問題否則将付出代價。
下一個大的威脅什麼?
麻煩在于,沒有人真的知道這威脅是什麼。2016年末,我們看到iot因為大型ddos攻擊受到牽連,而這似乎還會繼續發生。
但有一件事我們更加确定,盡管不願承認,接下來的攻擊會繞過技術防護并找到方式挖掘人性的弱點。面對這些挑戰,有一個主題将不會改變,那就是“網絡犯罪者會持續找到新的方式欺騙你的員工”。
你準備好了嗎?
作者:tutu
來源:51cto