永无止境的网络安全战争

网络安全事件带来的痛苦何时才能结束呀?当您一次一次从网络环境中赶走黑客或清除掉内部威胁时,您会发现,这是一件永远没有终点的战斗。原因其实很简单,网络攻击永远不会结束,黑客和内部威胁可能会随时重新开始。不过也正是因为如此,网络安全组织和人员才有其长期存在的客观必要。

很多数组织都认为,当黑客入侵您的网络时,就会开始有数据泄露事件。但是实际上很久以前数据泄露就已经开始了,其中包括糟糕的安全行为习惯、错误的安全配置、对安全隐患的轻视、少得可怜的安全预算、以及对旧设备的依赖或没及时安装安全补丁等等。

网络安全事件发发生不见得是一件坏事,因为它会唤醒人们对安全的重视,并且是实实在在的安全意识学习。当发生安全事故后,相关人员都对信息安全感兴趣一段时间,这有助于人们吸取教训,找出安全弱点并采取补救行动。

不过,并非所有机构能真的获救,很多组织遭遇安全事故后,虽然能够及时恢复,但是经常不知道问题是如何发生的,邀请的网络安全渗透测试专家团队也给不出使人信服的答案。对此,昆明亭长朗然科技有限公司网络安全顾问董志军表示:技术人员喜欢孤立、片面地看安全事件本身,而不进行综合、全面的考虑,这固然是受职位的限制,更多的情况是对安全事件起因的不了解。网络安全攻击事件有一个完整的生命周期,虽然并非偶然的,但是也需要多种必要条件,比如该修复的安全补丁没有及时安装、该强化的安全配置却没有进行、错误的将配置文件放置于公开地点、通过网络或社交媒体发布了本该保密的信息……

在遭受例如品牌损毁、信誉丧失,以及销售放缓、客户流失的恶果之后,现在,安全团队知道必须将时间花在安全更新和部署新技术上,可能会要求资金不足的团队在六个月内执行一项为期三年的安全计划,当然欲速则不达,这通常是不可能的任务。

有效的网络安全植根于强大的组织文化,它重视一致且专注的安全实践和行动能力,治其表不难,难在治其本。要使网络安全战略发挥作用,需要制定全面的安全计划,包括技术上的安全控制措施,更需要管理安全以及人员安全。

当来自外部的黑客、病毒等无法利用网络层面的技术漏洞入侵时,便会开始利用管理与人员的漏洞。因此,安全预算不能仅仅花在购买新设备上,更需要考虑提升管理层以及全员的信息安全与保密意识。这不是技术问题,却是很严重的问题。不是花钱请技术高超的人员就能轻易解决的,需要时间来让人们在安全方面不再自大自满、充满警惕,更需要时间让人们摈弃不良的不安全的旧习惯,逐渐适应新的安全要求和提升对安全威胁的敏感度。

我总是和网络安全负责人员说,处理掉一起安全事故,不是结束,而是另一个新的开始。我们应该考虑,如何防止另一起安全事件再发呢?借机建立和提升信息安全管理体系,将信息安全纳为优先事项,投入必要的资金和资源,不仅仅是直接用于安全和保密的资源,不仅仅是为了满足合规的要求,更需要实际行动,比如强化网络安全管理组织,设立信息安全工作改进计划,制定网络安全可量化的指标,设置人员安全绩效考核,定期进行安全管理沟通等等。

建立信息安全意识计划往往是第一步行动,即如果没有完好科学的安全认知,就无法拥有良好的信息安全。如果没有良好的安全决策,就无法保护自己的组织。安全意识计划包括管理层和员工层。

管理层可以不懂具体的技术实现,但是如果没有基本的安全管理理念,不晓得安全原理,那可能迷失方向,瞎指挥的同时又怪下属们能力不足、工作不力,同时对如何管理风险的信念也是如此。

员工们如果没有基本的计算设备安全、信息数据安全保护理念,他们会随便使用计算机设备,主动引入病毒并成为黑客的带路人,甚至还会主动向外界泄露机密信息。

使安全成为整个组织的习惯和心态,从高管到组织的每个层面。这需要时间培育,需要资源配置,需要制度配合,需要管理加强,更需要意识培训。

最后,即使您今天没有安全预算,也要将所有这些内容纳入为期三年的安全计划。包括制定好信息安全管理策略、必要的安全规章制度,有效的安全沟通计划等等。在保护组织的品牌、销售和客户忠诚度方面,信息安全扮演着越来越重要的角色,这些都源于组织上下对信息安全的重视态度和认知能力。

网络安全是一起永无止境的战争,网络犯罪分子越来越狡猾,他们转向组织的脆弱点——缺乏安全意识的高管和员工,利用他们,搞一搞社工诈骗和网络钓鱼,比苦心研究网络系统的技术弱点要容易的多。因此,要想赢,就得做好打长期战争的准备,更要认识到这并非军人对入侵者的战争,而是一场发动全员的人民战争,并非信息安全团队对黑客和病毒的技术战争,而是全体职员对各类安全威胁的全线网络安全战争。

要记得未来的网络安全战争,我们必须要建立全面的网络安全防线,昆明亭长朗然科技有限公司推出了安全前线,旨在帮助各类型的组织机构构建强大的人员安全防线。我们的方法是强化对全员的安全意识教育,包括在线学习、安全测试等等,我们提供大量的课程素材资源,包括动画视频、互动游戏、电子课件、宣传图片等等,欢迎有兴趣和需要的客户联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

信息安全与媒体公关起冲突的原因分析及化解之道

现代组织中,信息安全与媒体公关工作越来越重要,两者最常的交汇处便是安全特性的发布和安全事故的紧急响应和处理。

先说说产品或服务最新安全特性的发布,客户越来越重视信息安全,安全专业人员知道他们在安全方面的创新工作可能给客户带来的价值,以及给公司品牌和形象带来的好处,但是显然与媒体公关人员相比,后者具备更强的市场推广能力,更知道如何策划和实施系列安全活动能给组织争取更多加分。

在这方面,信息安全与媒体公关工作的实质冲突要远小于协同合作,最多可能有些内部利益方面的争执。昆明亭长朗然科技有限公司的资深信息安全顾问James Dong建议说:通过媒体召开发布会向外界释放信息安全方面的好消息是一项重要的市场推广工作,因为现代的信息服务,用户特别注重他们的数据会被如何使用,他们的隐私会获得何种级别的安全保护,他们的虚拟财产是否能够得到足够的安全保障等等。

进行定期的信息安全沟通可以强化用户及潜在客户的认知,频率不需太高,据业务情况,每月或每季一次比较合理,具体的沟通案例通常是一些安全新特性如新增加的身份验证机制、密码强度验证机制、加密通讯机制等等方面的通告。定期的更新使潜在客户知道信息安全管理在不断得到提升和改善,进而对他们的数据安全更有信心,商业竞争力也在无形中不断增长。

发布会上媒体公关人员可以尽量避开安全的专业内容,当被问及时可称是保密信息或交由信息安全专业人员还跟进。

内部利益方面的冲突和争执需加强双方的沟通,信息安全专业人员往往喜欢被认可,在内部要给一些嘉奖,但是要教育安全专家们最好保持低调,不要轻易向外暴露身份,而能够公开曝光的事情应该交给专业的公关人员进行,通常安全专业人员都比较能够接受。

当然有些组织将这部分的工作交给市场部而不是公关部来处理,不过对信息安全团队来讲,则没有什么大的不同。

再来说说紧急安全事故的响应,影响到大批量用户的坏消息也要及时通过媒体公关,信息安全团队在进行事故调查和补救工作时,也要第一时间根据安全事故级别报告适当的领导层,并且通报媒体公关团队,以便公关团队能第一时间对外发布消息,承认安全事故发生,再简略讲一讲目前正在进行响应。

相信不少组织有安全事故响应流程,接下来信息安全问题原因已经定位,解决之道也已出来,便需要信息安全团队同媒体公关团队以及组织的高管一起,策划下一步的公关宣传。要坦然而透明地向外界表示问题的根源,如果威胁来自外部,如果是攻击者则要用正义的姿态谴责黑客,如是自然或人为灾害,则要反思对安全威胁的评估不够,让外界认为安全事故的发生在于“运气不佳”进而产生同情,特别注意不要披露内部安全控管措施或安全管理工作的不足,尽管这些是信息安全团队为防止此事故再发生的进一步工作要点。

最后这特别注意点也最容易成为信息安全与媒体公关的冲突或争执焦点,“丑事”让媒体公关人员受到压力,可能会在发布会上显示对信息安全工作的不满意,而信息安全人员的公开反击则可能造成组织的形象的受损,所以在媒体公关人员对外发布安全事故调查报告消息之前,请认真考虑这点特别注意事项。

可能会有监管机构如警方调查人员进驻,更要注意不能轻易发布二次消息,因为可能涉及法律的问题,是否能够曝光,需法务人员参与进来斟酌。

除了信息安全团队与媒体公关团队的可能冲突之外,组织内部其他员工可能成为信息安全和媒体公关的“公敌”,在社交网络日益发达的今天,他们可能无意中泄露出组织的信息安全“丑闻”,却被捕风捉影的媒体添油加醋,或给商业间谍或竞争对手利用,最终用可能没给组织的形象带来正面的促进作用,反倒抹黑了不少并且造成竞争力的丧失。

亭长朗然公司James称:信息安全与媒体公关团队应该停止争执,立即着手制定和加强社交网络使用政策和规范,并且加强对员工进行信息安全保密意识培训。要让员工记住所有与组织相关的内部信息都不应该对外部第三方随意泄露,同时分享安全保密培训中的一个小技巧,防范信息外泄提供信息之前必问自己两个问题:自身有没有权力泄露信息?对方有没有权力获得信息?

信息安全与媒体公关同是组织的重要支撑部门,又同是专业性较强的职位,两者密切合作在安全新闻事件发布上可创造佳绩,更可发挥促进组织成功的神奇魔力。客户、媒体、大众和竞争对手不仅仅关心组织官方发布的消息,他们可能需要更多,所以要防范内部员工意外泄露不利消息,当然这些信息安全事故的防范需要通过加强对员工们进行适当的信息安全意识教育