大多数首席信息官[注]都能够很好地保护网络、加密敏感数据,并保持客户信息的安全,但他们可能忽略一个明显的漏洞:最终用户。
让最终用户安全地思考
网络教育提供商Cybrary安全专家兼主题专家(SME)Anthony Harris表示:“你已经投资了尖端的安全软件,你拥有很棒的IT人才,但你也要考虑最终用户。营销人员、销售人员、管理人员等最终用户通常完全没有准备好应对网络钓鱼诈骗、社会工程计划,他们往往是造成数据泄露事故的原因。”
安全解决方案供应商Clearswift公司产品高级副总裁Guy Bunker表示,用户是你最薄弱的环节,但他们也可能成为你最大的资产。
Bunker表示:“对于安全,用户既是最大的财富,也是最薄弱的环节。用户‘知道’流程方面正在发生什么,以及遵守和被忽略的政策,他们可以是评估安全措施有效性的‘晴雨表’。”
Bunker称:“对于不安全的流程,或者没有预期安全的流程,尤其是如此。然而,用户必须接受教育。例如,他们必须明白很多类型的恶意软件安装在应用程序中,需要进一步的操作才能实现攻击,例如,当他们点击一个链接,然后系统要求安装某种软件,这很可能是恶意软件,所以他们需要将此事报告给IT或者遵循明确定义的流程。”
教育是关键
加强安全措施的最有效方法之一是让最终用户知道他们在企业安全最佳做法中的角色。Cybrary公司的Harris目前正在开发一套课程来教导最终用户如何识别最常见的威胁、在BYOD[注]设备使用高强度密码以及如何预防常见的安全泄露事故。
Harris称:“我们主要专注于教育用户如何应对日常持续性威胁,我们希望最终用户知道网络钓鱼电子邮件是什么样子,以及他们可以如何检查出这些社会工程策略的合法性。最终用户应该积极参与企业的安全策略,而不是在他们不明白这些最佳做法背后的原因时盲目听从命令,”
安全沟通
有效的安全教育应该是双向的。企业需要进行定期的沟通以及信息共享,特别是围绕有针对性攻击的信息共享。围绕安全的这些沟通不必是大型的会议,安全对话应该是日常业务的一部分来帮助最终用户了解安全是每个人都应该关心的。
“你可以定期发送电子邮件、公告或简报,或者提供更为正式的计算机或教师指导的教育和培训。你还可以提出个人化以及使用他们家庭生活的建议,”Bunker称,“把媒体上刊登的报告(特别是成功的网络钓鱼攻击等)作为实例,来帮助员工识别潜在的攻击。”
可靠的战略
安全解决方案提供商Blue Fountain Media公司Mike Ricotta称(+本站微信networkworldweixin),教育和培训还需要辅以强大的战略和流程来应对威胁。
“适当的安全战略是很好的开端,但执行和维护最佳做法始终是运营人员的职责,”Ricotta表示,“通常情况下,企业的漏洞不需要大量人才来维护,有时候只需要确保你更新了最新软件。由于社会工程仍然是入侵的主要方式,企业可以通过内部流程、程序和权限来限制‘人为错误因素’。”
技术是最后一道防线
当然,世界上所有的教育不都是万无一失的解决方案。总是可能出现这样的情况:最终用户点击他们不应该点击的链接,或者安装恶意软件或激活病毒。企业应该部署一个计划来快速报告、发现和消除这种问题,以确保数据和信息的安全性。
Bunker说道:“确保你的最终用户知道在数据泄露事故发生时打电话给谁以及如何报告数据泄露事故,因为即使你尽了最大努力,这种事故还是会发生。这个过程不一定很复杂,应该类似于消防演习,人们知道怎么做。”
最后,教育还需要结合技术;用户可能是第一道防线,而技术则是最后一道防线。企业应该部署高级防病毒、反垃圾邮件和自适应数据丢失防护解决方案来防止所有渠道的重要信息丢失。
Bunker表示:“教育、流程和技术相结合的解决方案可以帮助企业最大限度地减少信息安全风险。凡事预则立。”
作者:邹铮
来源:51CTO
