数据泄露会愈演愈烈,企业为此也将投入更多,黑客们会通过更多途径获取敏感信息并以此赚钱。
从人性的角度看待信息安全问题,如何让员工对抗企业信息安全面临的风险,如何从培训和教育角度入手,加强员工在安全意识方面的认知。下面是2017年关于企业安全意识方面的5类较佳实践与策略。
一、施之所欲
2017年基于网络的精准营销会有很大跃升,源于用户行为分析及环境学习在人群中的普及。
Gartner分析师Matthew Cain和Stephen Kleynhans认为,环境学习是以算法驱动,基于用户行为分析客户化后从而传递给用户的信息。我们遇到的环境学习是日常生活中的,类似电子商务和视频播放网站,通过用户使用行为向其推荐相关内容。
在2017年,会有更多途径知道用户在做什么。这些层出不穷的技术揭示了更多存在于企业内部有关行为的风险,同时也意味着可以将更好的内容适时传递给适合的人。安全意识培养与企业自身独特的风险结合越紧密就越有效。
二、微学习
作为对抗“遗忘曲线”较可行的方法,微学习会持续风靡,现在是时候开始了!
简单来说,微学习是针对短期内、小规模学习内容较好的实践方式。微学习背后的理论假定学习者只投入相对短的精力与时间。
在实践中,微学习可以作为企业培训实施策略的一种手段。比如,在信息安全领域,如果一名员工没有妥善保存敏感文件,你可以对其开展一个简单的微学习(播放一则小视频)纠正过来。如此看来,微学习能够在整体学习内容和实施中提供更大的灵活性。
为应对这个新潮流,安全意识厂商应着重提供内容覆盖更广泛、学习方式更多样的产品给客户。
三、对抗“安全疲劳”
2016年较有趣的研究之一是由国家标准技术委员会发布的,提出我们或多或少已经知道的:安全厌倦,这是真实存在的。
国家标准技术委员会认为一般用户对实施安全防护措施感到厌倦,并且对他们日常习惯的操作会威胁自身与企业感到不可置信。重复使用同一密码、任意连接公共场所的网络、发送一份工作文档到私人邮箱——说到底,这不就是我们吗?所谓“安全疲劳”现象并非空穴来风。
对我们这些试图克服安全疲劳的人来说,挑战存在于如何将维护安全与信息的手段变得要么极端强制要么非常简单易行,特别轻松就能完成以至于没有理由不去做它。
如何正确完成这些还有待检验,但是我认为2017年能够涌现更多比以往有创造性的措施解决这个问题。
四、注意你的高管
首席执行官和其他管理人员因其敏感信息可在黑市中变现,成为网络犯罪较有吸引力的攻击对象,这一标靶地位在2017年仍将继续。高管在大多数企业中有较大特权,在公司网络系统中有较高通行权限。
商业邮件欺诈(BEC)在2017年将会持续并产生变种,网络犯罪者盗取高管的邮箱地址,他们自身也陷入诈骗转账中。在过去的三年,FBI公布首席执行官邮件欺诈使公司损失23亿美元。
这是一个很现实的问题,对这些手握重权的人来说,自身时间和资源管理压力巨大,以至于对社会十分敏感多情。所有的一切只需一个错误的点击,就给予攻击者盗取敏感客户信息、记录的机会。
问题是这些人过于忙碌,容易分心,也“过于聪明”以至于不需要参加常规性网络安全培训。这就是为何我们希望安全意识培训能够聚焦并为高层管理人士量身打造。高管们需要与普通员工一样知晓安全信息课程,但应该通过更适合他们的方式来进行。
五、隐私保护 人人有责
在企业中隐私问题得到更大的聚焦,即将囊括在一般数据保护条例中。隐私安全的规范——由一般数据保护条例强制规定——将进入每个软件产品与技术解决方案中,这也包括员工安全意识认知。
因为一般数据保护条例传播广泛,它将从原有隐私保护在高级行政管理水平延伸至普通员工中间。换言之,我们认为一般数据保护条例会鼓励人人肩负起隐私保护的责任,原本就应该是这样。
不仅是已经执行数据保护规定的公司,各行业的公司都会加入这个领域的讨论中。
除此之外,条例中明文规定需要进行隐私意识培训。例如,规定企业数据保护负责人要“安排员工安全意识培训的操作。”在这些法规压力下,企业应该在其经营管理中充分考虑隐私问题否则将付出代价。
下一个大的威胁什么?
麻烦在于,没有人真的知道这威胁是什么。2016年末,我们看到IOT因为大型DDoS攻击受到牵连,而这似乎还会继续发生。
但有一件事我们更加确定,尽管不愿承认,接下来的攻击会绕过技术防护并找到方式挖掘人性的弱点。面对这些挑战,有一个主题将不会改变,那就是“网络犯罪者会持续找到新的方式欺骗你的员工”。
