干货分享 | 通过标准引入最佳业务治理(网络安全篇)· 下
BSI全新发布了《现代公司治理报告》,分析了三个需要考虑的业务关键问题,重点介绍了在增强长期组织生存力和保持高绩效方面最重要和最有用的标准。
在网络安全篇,在上篇我们介绍了组织的网络安全风险,中篇的主题为自带设备办公 (BYOD) 模式与控制,本期我们将为大家带来减少人为错误导致的风险相关内容。
基于云的业务态势下企业面临的挑战
——BSI网络安全与信息韧性国际营销总监David Maher
人为错误将始终是组织网络安全风险的一部分,并且通常只被视为一种可能的弱点。不过,基于标准的培训有可能将其转变为一个优势。
鉴于每年高比例的安全和数据泄露事件是由于人为错误所导致,人通常被视为网络安全中最薄弱的环节。考虑到这一点,基于标准的意识培训和教育的重要性不容小觑。
//
///
NOTICE
犯罪分子通常寻求以个人而非系统为突破口,因为他们知道,针对忙碌、心烦意乱而可能无暇顾及网络安全的人实施社会工程攻击是一种极其有效的伎俩。
根据Wombat Security的2017年《Beyond the Phish》报告,近四分之一 (24%) 的受访者错误回答了与识别网络钓鱼威胁相关的问题。这突出表明,那些伺机利用人们防范意识欠缺窃取数据和身份信息的人面临着巨大的可乘之机。
摒弃被动应对思维,企业应当努力让其员工成为网络安全链中更强大的一环 —— 使他们成为“人类防火墙”。考虑到居家办公模式的兴起以及将个人设备用于工作的员工日益增多,这尤为重要。网络安全意识必须超越员工的常规工作空间。
使用网络钓鱼模拟和知识评估,组织可以准确评估特定培训需求以及当前风险——理想情况下是在个人用户级别。以此为基准,企业应当根据员工需求为其量身定制计划。信息安全标准 ISO/IEC 27001 可帮助企业根据国际最佳实践创建和组织培训。
Wombat Security的研究表明,一般员工还缺乏所谓的简单保护意识。例如,过半数的美国企业员工相信,他们可以信任可信地点的开放 WiFi 网络,40% 安装了 VPN 的英国企业员工表示他们很少或者从未使用过 VPN,超过一半的美国和英国企业员工会在外出就餐时将公司的笔记本电脑留在车内。
这项调查还着重介绍了围绕物理安全的常见培训需求,例如,保护 ID工牌,打印的信息和提供有关供应商详细信息的文件之类的物品。
还应考虑如何提供网络安全培训内容。每年进行一次培训将不会产生预期的效果或者对员工缺乏吸引力。我们建议采用短期但频繁的培训,以及有针对性地为员工提供一致内容。要使行为发生真正转变,营造一种参与文化也很重要,让员工有机会提供反馈并提出建议有助于增强他们的参与感。
基于标准的网络安全培训有助于在员工中培养真正的安全意识,并且将个人和集体责任融入所有级别员工的日常工作中。由于提高了对风险的认识,员工更可能报告可疑情况,成为高度有效的第一道防线。
引入针对任何可疑情况快速而简单的报告机制同样至关重要。即使具备最佳的网络安全体系,错误仍然会发生,尽管其重要性和严重性应当大大降低。
维护最新的事件响应计划可明确直接责任,并且在发生数据泄露事件时确保采取正确措施控制局面。应当记录事件详细信息,以指导不间断学习和持续风险评估。可能还需要具体的事件后培训和教育。
最后,证明组织在其网络安全培训和流程中经认证符合(或者使用和遵循)公认的标准至关重要。
如果发生任何数据泄露事件,这有助于证明公司具备必要的控制措施以合理和负责任地履行其应尽义务。