让企业文化成为安全文化

简介: 思杰 (Citrix) 公司大中华区总裁 曹衡康 尽管全球有数十亿美元的资金投入到了安全解决方案上,但所有企业用户都仍然觉得安全是个大问题。技... 思杰 (Citrix) 公司大中华区总裁 曹衡康尽管全球有数十亿美元的资金投入到了安全解决方案上,但所有企业用户都仍然觉得安全是个大问题。

尽管全球有数十亿美元的资金投入到了安全解决方案上,但所有企业用户都仍然觉得安全是个大问题。技术在增进人类福祉的同时,也给人们带来了全新的安全困扰和挑战。防范企业安全风险看起来是一项“技术活”,但其实无论是安全攻防还是技术对抗,网络安全领域的自然法则其实与“人“息息相关。

过去这几年,越来越多的企业利用移动办公解决方案打造了更加敏捷、高效的办公环境,却也同时带来新的风险,如安全漏洞增多、网络攻击加剧等。数据显示,中国企业用户面临的安全状况日益严峻,他们更容易受到网络攻击,其脆弱性是其他亚洲经济体的9倍(详情点击这里)。

在网络安全危机的推动下,国内企业不断更新部署前沿、加固的IT基础设施,以保护数据、资产安全和企业品牌。从热门的机器学习、人工智能,到基于云的监控和分析技术,中国企业用户采用了很多最新的解决方案,以抵御网络犯罪。然而,这类方案实施的有效性却取决于一项容易被忽视的因素,即企业组织的重要部分——员工。

随着BYOD灵活办公的普及,在保护企业的数据、应用、知识产权等安全时,员工常常成为最大的安全威胁。

员工对IT安全政策的疏忽,以及对网络威胁的漠不关心是云安全最大的障碍之一。员工,显然对安全问题缺乏充分的了解,调查显示,几乎2/3的企业将“员工缺乏网络安全知识”归结为最大的内部威胁,公司内仅有1/10员工的完全了解网络攻击实施的全过程。

近期思杰和波耐蒙研究所(Ponemon Institute)针对IT安全基础设施所展开的一项题为《全球调查:需要一种新的IT安全架构》的全球调查显示,超过一半(66%)的被访者表示,由于操作太过复杂,员工和第三方会选择绕过安全策略和技术。事实上,这种复杂性更会加剧“影子IT设备或软件”的增多,它们不受IT管理员监管。

缺乏安全培训和安全意识不足常常导致两种截然不同的结果——知道自己遭遇了黑客入侵,以及完全不知道自己的网络被入侵。如果企业员工没有充分了解到攻击是如何发生的,既没有采取措施保护数据安全,也不会对网络风险进行监控并向IT管理人员求助,那么遭受网络攻击的隐患就会一直存在。

企业怎样才能既让员工享有移动、高效、便捷的工作方式,又确保数据、应用和具备竞争优势的知识产权的储存安全?企业该如何提倡灵活、积极的IT安全管理文化,又该如何通过增加培训来提升员工的安全意识?

  1. 让员工成为安全解决方案,而非安全隐患

首先,企业确保把安全问题放在第一位,并使安全性要求牢牢植根于业务流程之中。安全要求需要嵌入到企业的日常运作中,让“人体防火墙”发挥作用,让员工成为安全解决方案,而不成为是安全隐患的组成部分。

严格说来,应该在公司制定从上到下的安全策略,让尽可能多的部门员工、利益相关方提出意见和建议,网络安全问题人人有责。集中开展安全讲座,每年应该组织至少一次以上的常规培训。

开展有趣的网络安全教育活动,数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。网络钓鱼攻击通常是电子邮件钓鱼,骗取受害者点击恶意链接,有些企业据此“定制”了假的钓鱼邮件,将邮件发送给员工,使IT团队能够了解哪些员工更容易受到攻击,从而为这些员工提供额外的培训,帮助他们了解如何发现更复杂的欺诈和骗局。

我们提倡企业有责任为所有员工提供必要的工具、指导和培训,以提升员工保护企业安全的主观能动性。通过提供认证、全面的课程培训以及免费的学习机会,提高员工识别潜在攻击并及时做出响应的能力。

  1. 激励员工守护企业网络安全

进一步说,企业还应该让员工更加积极地参与到抵御安全攻击、维护网络安全的日常工作中去。明智的企业应该让员工树立安全观——安全是发展的前提,也是发展的保障,员工必须帮助企业保护知识产权等数据安全,与企业共筑网络安全防线。

与此同时,建立持久的安全保护意识,提倡员工学习安全知识,让员工感到网络安全防护能力对个人成长至关重要。比如,此前提到的用“伪造”钓鱼邮件“模拟”安全攻击,就是帮助员工做好安全意识教育的一种方式,旨在培养员工识别潜在攻击的能力。

这种模拟安全攻击是行之有效的培训工具,既可以测试企业员工遇到威胁、受到攻击时的反应,也可以作为一种互动式的员工培训活动,向员工介绍最佳实践和安全做法,激励员工创造一种自然抵制安全威胁的公司文化,减少大规模安全事件的发生几率。

这种方法同时能够赋予企业员工更大的预防攻击的责任,每个人都可以培养出相应的安全习惯和意识,共同推进和保护企业网络安全。

  1. 自下而上保护数据安全

员工的安全意识很重要,但采取协作和移动办公的新员工们,不仅需要培养安全防护知识,更应该获得具有保障的技术基础设施,以确保应用、数据等安全。没有这样的IT安全基础设施,任何“有安全意识的”企业文化本质上都是脆弱的。

为了应对网络威胁格局的日新月异,安全的核心技术支柱应该包括:身份和访问安全、网络安全、应用安全、数据安全以及监控和响应。企业历经数十年已经学会了一些基本措施、应急响应机制以及更为规范的安全流程,满足企业安全需求的解决方案,可以为企业用户全盘提供企业、网络、应用、数据直至员工的相关安全培训。最终让员工能够在任何地方安全、高效工作的同时,还能兼顾满足隐私、合规和安全风险管理的要求。

网络威胁的不断演变推进了安全技术的发展,在媒体和公众对网络安全持续关注、移动办公方式越来越流行的今天,企业只有积极主动开展培训并充分提升员工的安全意识,同时加固IT基础设施,才能真正增强网络安全信心。

这对所有企业而言,都是切实可行并能够实现的,随着数字化转型的加剧、互联网+的盛行、监管环境的变化,网络安全不仅对我们的工作、企业安全非常重要,而且对国家安全、国际事务的影响也不断增大,这些因素都将促使企业更加积极主动地升级保护措施,从“人“和技术两个方面增强安全性和可持续性。

本文转自d1net(转载)

相关文章
|
6月前
|
缓存 监控 安全
多线程不止提速!12 个你可能从未想过的高级应用场景
本文打破“多线程=提速”的常见认知,系统梳理12种高阶应用场景:UI解耦、实时流处理、异步日志、心跳保活、预加载、并发测试、限流控制、定时调度、事件监听、密码学加速、故障隔离及Actor/CSP模型实现。强调多线程本质是提升响应性、可靠性与架构灵活性的关键设计手段。(239字)
320 3
|
7月前
|
安全
南京观海微电子---DC 电源输入防反接保护电路总结
电源接反易烧毁元件,常用防反接保护有二极管型、整流桥型和MOS管型。二极管法简单但功耗高;MOS管导通电阻小、效率高,是主流方案,继电器法则适用于大电流场景。
南京观海微电子---DC 电源输入防反接保护电路总结
|
移动开发 JavaScript API
HarmonyOS Next 简单上手元服务开发
本文介绍了 HarmonyOS Next 中元服务的开发流程与关键特性。元服务是一种轻量级应用程序形态,支持免安装、秒开直达,适用于听音乐、打车等场景,大幅提升服务获取效率。文章详细讲解了元服务的开发旅程,包括在 AGC 平台上新建项目、修改名称与图标、新增卡片等内容,并提供了代码示例,如 AtomicServiceTabs 的 tab 切换和标题设置、AtomicServiceNavigation 的路由管理等。此外,还探讨了 AtomicServiceWeb 的使用方法,涵盖鸿蒙页面与 h5 页面的数据传递及方法调用。
1312 20
HarmonyOS Next 简单上手元服务开发
|
存储 JSON 前端开发
菜鸟之路Day39一一登录
本文介绍了登录功能的实现及其相关技术细节,包括会话管理、令牌认证和异常处理等内容。作者通过 Java 实现了一个基于用户名和密码的登录接口,调用服务层和数据库层完成用户验证。同时,文章深入探讨了三种会话跟踪技术:Cookie、Session 和 JWT 令牌。 在 JWT 部分,详细讲解了其生成与校验流程,实现了登录成功后返回 JWT 令牌的功能。此外,文章还介绍了过滤器(Filter)和拦截器(Interceptor)的概念及应用,演示了如何利用它们实现登录校验。 最后,为解决前后端交互中异常响应不统一的问题,定义了一个全局异常处理器 将系统异常以统一的 JSON 格式返回给前端。
371 0
|
存储 应用服务中间件 开发工具
对象存储OSS-Python设置代理访问请求
通过 Python SDK 配置 nginx 代理地址请求阿里云 OSS 存储桶服务。示例代码展示了如何使用 RAM 账号进行身份验证,并通过代理下载指定对象到本地文件。
746 15
|
人工智能 算法框架/工具 C++
《C++ 人工智能模型的跨环境迁移之道:突破限制,无缝衔接》
在AI领域,C++因其高效性能和资源利用率,成为模型训练与部署的关键选择。然而,不同环境间的模型迁移面临硬件差异、软件依赖及数据兼容性等挑战。本文探讨了模型迁移的重要性、常见场景及应对策略,包括硬件适配、软件依赖管理和数据适配与验证,旨在帮助开发者和企业克服这些障碍,实现模型的高效迁移与应用。
464 11
|
存储 JSON 监控
开源日志分析Logstash
【10月更文挑战第22天】
478 1
|
存储 内存技术
【RAID磁盘阵列服务器数据恢复】华为OceanStor Dorado存储系统RAID-TP数据丢失数据恢复案例
客户报告其华为OceanStor Dorado存储系统的RAID-TP出现故障,导致数据丢失。RAID-TP是一种增强型RAID级别,包含数据磁盘、校验磁盘和转换磁盘,可在两个磁盘故障时仍保护数据。通过分析RAID结构与工作原理,我们制定了恢复方案:首先从校验磁盘读取信息并计算出丢失的数据块,接着将恢复的数据写入新磁盘。由于缺乏现成工具,需定制RAID重组程序以恢复数据。华为的动态RAID重构技术保证了重构过程中冗余级别的稳定。
518 1
|
Python
Python系列(22)—— 排序函数
Python系列(22)—— 排序函数