员工安全意识是最好的防范武器

数据泄露和网络攻击逐渐成为科技新闻的热点话题,哪个先哪个后呢?这仿佛是先有蛋还是先有鸡的问题,众说纷纭。数据泄露和网络攻击是相互关联的,可互为因果。通常来讲,究其根本原因,往往都是组织内部发生了基本性的安全错误。

内部发生的安全方面的错误和疏忽往往会带来比外部坏人更大的威胁。关键的人为错误或疏忽这种“因果因素”多年来没有改变,仍然“频繁”地发生。

安全事故之后的违规调查经常会发现重大盲点。调查人员可能会说:看啊,这些数据都是从您的网络中被盗的,请告诉我一些必须在此过程中被黑客入侵的系统。

许多漏洞都可以追溯到基本错误,这些基本错误经常被安全审计人员发现,比如有人忘记了更改默认密码,或者没有意识到某个特定的涉密设备已连接到互联网上。

在一项调查中,由于受害者犯的一个相当简单的错误,造成入侵者不用花费特别复杂的工作,便可以源源不断地获得客户的付款。调查结果称五分之四的入侵涉及利用被盗、脆弱或易于猜测的密码。

安全调查人员建议称:改善网络安全现状的一个好方法是“将员工们武装起来,化为第一道安全防线”。在许多情况下,一个运作良好的简单方法是向人们展示他们与同龄人的比较。这是大型欧美外资企业常用的方法,也是“走出去”的中资机构开始尝试的。

因此,只需要将审查结果公布,并说:这位经理的团队比其他所有团队差得多。这个部门是领先的,那个部门的那些家伙处于最底层……

接下来就是管理层面的问题,没有哪个部门的经理想该下属团队的安全工作长久落后于其他部门。

有什么辅助的方式么?昆明亭长朗然科技有限公司企业安全管理顾问董志军表示:当然,除了针对全员的信息安全常识教育和日常的安全检查(审计)之外,“模拟”网络钓鱼也是很有趣的活动,在安全工作研讨会中让参与者分别扮演攻防两方,进行电信诈骗的防范演习,会让安全研讨会变得有趣。

当然,也可以批量发送“模拟”的钓鱼邮件和诈骗短信,使用模拟的“钓鱼网站”以测试员工们识别钓鱼邮件和短信的能力,进一步帮助提升网络安全意识培训。

根据经验,通常少数人会成为这类事物的受害者,但那些人可能会被一遍又一遍地被欺骗。

物联网带来了新的风险,而控制工业机械和某些关键基础设施的运营技术也越来越容易受到网络攻击,例如知名的“震网”病毒袭击了伊朗核设施的离心机。除了打印机、路由器、摄像头等传统外设,智能汽车、门锁、遥控玩具、人体扩展设备被入侵的案例也时而见诸媒体,我们可以看到新的盲点不断曝光。从中可以得出,所有新功能都需要被视为可能的攻击媒介。

人们越来越意识到关键基础设施可能会受到入侵,严重的情况可能会危及社会稳定和国家安全。因此,人员的安全意识和防范能力需更为谨慎和全面。

为帮助各类型的组织机构提升员工的安全意识,形成一道强有力的安全人员防线,应对数据泄露和网络入侵,保护合法的收益免受不法威胁,昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

监控和评审信息安全管理体系

信息安全管理体系标准有一整个章节都是关于监控和评审的。关于监控和评审的重要性,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:标准强烈地反映出管理层积极参与信息安全管理体系的长期管理的需求,同时也要认识到,信息安全威胁环境的变化快于商业环境。下面我们将粗略地讨论三种类型的活动,即:监控,审计和评审。


监控
监控,也可称为监督,它的首要目的是尽快地检测出程序的错误和信息安全事件,以便能速度采取纠正行动。监测应是正式的、系统化的和广泛的。附录的安全类别监测中包含专门监控IT相关的活动,这些都与ISO 27001的此部分相关联。信息安全事故管理章节也是监控的核心部分,它提出,组织必须监测偏差和事件,响应它们并从中进行学习。


审计
审计,另一方面,是经过专门设计和规划,用以确保在SOA记录中的控制是有效的及正在使用中的,并确定不合格和改进的机会。
控制目标(符合安全政策和标准,以及技术合规检查)中有特别针对这一问题,强调要有计划地定期进行在流程和技术层面人合规检查。附录中提出审计工具的安全性要求。审计在ISO 27001的条文有更深入的要求,其中规定了如下两个重要方面:
1.审计程序“应该策划审计方案,考虑审计过程和区域的状况及重要性,以及上次审计的结果。”
2.“受审计区域的管理负责人应确保立即采取措施以消除发现的不符及其原因,跟踪活动包括所采取措施的验证及验证结果的报告。”
再次重复一篇,标准清晰的指出,组织各级管理在信息安全管理体系的有效实施、维护和改善方面扮演重要角色。这必需纳入到管理和监督工作的职责描述、劳动合同、文化导向和其他培训及绩效评价中。


评审
评审也作审查,对内部和外部审计政策、业绩报告、异常报告、风险评估报告和所有相关的政策和程序进行评审,以确保信息安全管理体系在不断变化的背景下继续有效。
这一阶段当然和附录以及ISO 27002的相关章节有密切的关联,具体关联如下:
1.信息安全策略的评审
2.信息安全的独立审查
3.第三方服务的监测和审查
4.监测本身就是一项控制目标
5.用户访问权限的审查
6.应用程序的正确处理,是监测程序的使用和数据处理的控制目标
7.从信息安全事故中学习
8.测试、维护和重新评估业务连续性计划
所有的这些控制都必须在ISMS第三阶段的开发和实施阶段得到解决。监控和评审报告活动的相关发现和输出要被转移至纠正和改进行动,并且,出于ISMS的目的,用以证明决策过程和实施这些决策的审计记录需要保存在ISMS的记录中。

后话
看到很多客户顺利地通过了ISMS审计,我们为客户通过大量的安全意识宣教活动,建立了企业信息安全文化,并不断改进和获得国际认证组织的认可,感到非常高兴。欢迎其他的潜在客户也积极联系我们,洽谈相关的ISO 27001人员培训。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898