互联网时代的移动工作威胁与安全

移动互联网时代,各个地方的员工都在使用商业网络来连接、协作和访问公司数据。员工们被鼓励使用无线网络和热点等技术。疫情时,会议沟通也是远程完成的。安全加密系统越来越成熟,合同文件可以通过网络进行电子签名,电子邮件几乎可以从任何地方得到回复。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:尽管这可能对员工和用人单位都有好处,但是同时,基于网络的协作必将使工作数据进入了一个多样且难以保护的移动化计算环境中。无疑,移动化的工作安全必成为未来的安全保密工作难点和重点。

尽管IT专业人员在每一步都有考虑数据安全性,并尽最大努力保护我们的网络和设备,但是其他员工也必须谨慎,并意识到我们将数据放置在哪里、如何使用和上传敏感数据。如下,让我们通过一个简单的场景,来认识移动工作要面对的安全威胁,和可能存在的安全隐患。

李莎入职已经三年了,她刚刚得到了一个职位晋升,在结束了一个部门会议后,她回到了自己的办公桌上。她打开笔记本电脑,登录并开始查看工作邮件。这时,旁边座位的一位同事说:“李莎,很高兴您回来了。您能帮我解决这个问题吗?”

乐于助人的李莎立即回答到:“当然可以!”李莎从桌子站上起来。李莎急于帮助同事,却忘了锁上笔记本电脑。她离开自己的小隔间,让笔记本电脑处于视线之外。这使得李莎的电脑对过路人员的攻击敞开了大门。

对此,很多人觉得不就是暂时忘记锁屏幕了吗?需知:仅仅因为您的设备处于打开状态,当未经授权的用户能够访问您的会话时,就会发生过路人员攻击。一旦有人进入您的会话,带来破坏的可能性是无限大的。

此外,我们需要能够识别常见工作场所的安全风险,包括但不限于网络嗅探、社会工程、钓鱼诈骗和数据盗窃。当然,我们还需要一些关键的安全控制措施,这些措施可用于缓解现代工作场所中最常见的一些攻击。

有一些安全保密措施,可以应对这些威胁,然而,人员的安全意识始终不可或缺,毕竟,用户是信息的创建者、使用者,同时用户也是信息,用户的认知和行为安全与信息安全必不可分。而要实现这一切,只有不断强化用户的信息安全意识教育。员工们拥有越充分的网络安全及信息保密意识,潜在的内部危险将越来越少。昆明亭长朗然科技有限公司设计了大量的信息安全与保密意识宣传教育课程内容,欢迎有兴趣和需求的客户联系我们,预览作品和进行选择使用。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

金融服务行业要加强员工安全意识培训

近期金融行业安全丑闻再起,央视315晚会曝工行、招行、农行员工兜售客户信息,三月底又爆出全球最大线上交易付款服务公司之一的Global Payment信息卡数据库被黑客入侵。

招行是银行界的创新服务标兵,315晚会曝光的胡斌更是招商银行信用卡中心风险管理部贷款审核员,通常提到风险管理,提到审核,人们都觉得从业人员在严格的控管环境中受到无形的熏陶,应该有较高的安全觉悟和保密意识,特别是在保护机密客户数据防止外泄方面。

然而事实上并非如此,虽然作者本人并无金融服务公司的工作经验,但举亲身经历的例子可窥一斑,在联系同一家银行要求进行密码重置时,从多名银行工作人员那里获得的密码重置流程和所需提供的证明资料并不一致,甚至有的表明不清楚,排除沟通中可能存在理解的误差,以及银行员工岗位和知识面的限制,我们仍然也可看到其内部的安全控管流程并不为多数员工所了解,其根本原因是进行安全控管的精神和理念不为员工所理解和接受。

说到底,很多大型金融机构都是中央控管,比如总行设置统一标准的安全控管体系,各地分行支行都按照同一模式运作,根据规模大小可能在产品和服务的项目上有所差异,这种中央控管的方式最大的好处在大批量的规模化优势,标准化的服务体系也避免了重复性的工作,在这儿我们不谈个性化服务和地域差别等因素,在安全控管方面,远离中央的分支机构只需按总部和上一级制定的标准框架,或由其它网点转派的领导进行复制,即可以轻易搭起服务体系,毕竟金融机构通过建立这多网点也积累了丰富的经验。

中央控管不足之处是分支机构内的员工普遍缺乏业务一体化的观念,在安全控制和防范上,只了解“该怎么做”,但是“为什么要这样做”的基础理念不够,因为“为什么要这么做”由总部在制定各个规章制度、各种岗位职责等等的时候给包揽了,而在员工培训时只重视告诉其“该怎么做”,忽视向员工告知这些规章制度的缘由和精神理念,除了部分员工会在工作中慢慢领悟和理解这些道理,多数员工会慢慢淡忘掉那些和日常工作关联并不太大的规章制度,自然结果会表现在员工为了点蝇头小利,躲避或忽视安全制度,进而铤而走险,最终给自己和公司带来信誉方面的损失。

金融服务业虽然是暴利产业,但在信息化时代,却面临着各类信息安全相关的威胁,信息系统与服务本身的安全性往往有专业的团队和服务机构帮忙,但面对客户的网上交易、移动支付等等多种金融服务的安全状况并不容忽视,尽管金融业有值得骄傲的安全控管体系,用户终端的安全不能仅仅靠一纸法律协议便让用户自行承担自行失误或无知所造成的金钱损失,不过,在营业厅悬挂大屏幕对用户进行培训是值得肯定的举措,不过无疑应该加强更多惠及客户的内容方面的制作和发布。

金融机构内部工作大都都已经信息化,尽管关键业务系统和办公系统有物理隔离,更有其它信息安全相关的控管措施,不过,最难的也最需要进行的是对员工进行安全意识培训,使他们不仅能够了解“该怎么做”的工作规范和流程,更要让他们了解“为什么要这样做”的基础理念,只有这些基础的信息安全理念被员工们所理解,他们才能真正从内心接受对其工作规范的要求,才能真正保护起客户的信息安全和公司的商业信誉以及业务成功。

尽管泄露的数据并不多,敏感信息如持卡人姓名和地址并未受到影响,但Global Payment仍然通知发卡机构以及持卡人注意网络犯罪分子可能会利用这些数据伪造信用卡,不过新闻一出,仍然导致其公司股价大跌9%。

金融服务机构在安全事故的处理上,也应该向Global Payment学习,保护客户的利益,应该做到及时透明的沟通,让客户在第一时间意识到安全事故对自己的影响和了解到需采取的后期应对措施,此外,尽管安全意外事故和不良员工行为不可能100%避免,加强员工的安全意识培训可以降低安全事故和不良行为的发生概率,更能在发生安全事故后进行及时和正确的响应。