必须教会员工的三项安全技术

在办公室里转悠一下,您会发现大部分人在电脑面前忙忙碌碌。当然如果您的公司有远程工作的,您可以想像出员工们在家里、在路上、在酒店、在客户、供应商或合作伙伴场所工作的情形——他们手持笔记本电脑、平板设备或智能手机,在展示、处理或传输着重要的信息。

不管您是否意识到这些,事实是员工们而并非仅仅是安全团队在保护着公司应对着诸如黑客攻击之类的信息安全事件。

您和您的IT安全专业团队可以配备最领先的安全创新科技,但是如果您公司的员工们如果不去正确应用这些创新技术,不去实施最佳计算机安全实践,事态可能远远比您想像那么严重。

各类组织机构的战略远景和目标各不相同,专业IT成员和安全团队的数量也大相径庭,所以需要让员工们理解如何保护信息数据的安全,并且采取正确的安全行动,因为组织机构以及各种重要的数据值得这样去做。

为了确保您的公司能够应对业务所面临的基本的安全威胁,您的员工们至少应该具备基础的信息安全能力,而安全防范能力不是天生就有的,公司信息技术和安全部门应该通过教育手段来帮助员工获取这些能力。

尽管安全是一个博弈的过程,在面对无比厉害的黑客高手之时,几乎没有任何组织可以完全避开,不过通常的业务不会令普通的公司成为黑客的攻击目标。所以呢,只要员工们的安全能力能够粗略地应对大众化的黑客和病毒袭击,紧跟或超越业界最佳实践水平,便在正确的方向,能够满足保障业务安全的需求。所以,在安全技能的培训内容方面,我们建议您也不需要一口吃个胖子,抓出重点几条内容,强化模拟场景式的训练,方可获得最佳效果。

如下是我们根据多年的经验和对安全现状及趋势的分析和理解,整理出来的三条员工必备之、主管必训之安全技能:

一、小心无线网络连接

无线网络接入是远程工作员工们的最爱,但是公共的无线热点也可能是网络犯罪分子的陷阱网络接入点,因为它们通常对数据、邮件、密码以及其它通过它传输的敏感信息并不进行加密。

所以,我们应该教育员工们这一点,并且告知他们在陌生地点遇见陌生WIFI信号时,应该向权威机构进行合法WIFI的确认。如果没有选择只能使用公开的无线热点之时,应该启用个人防火墙和关闭文件共享服务,以防止攻击者连接到无线终端设备并进行进一步的渗透攻击。

更重要的一点是要保障数据通讯的安全,想让移动工作员工使用加密的通讯,只需简单告知他们在连接WIFI之后立即启用安全的网络连接,如起用虚拟专用网络VPN。VPN技术和产品已经非常成熟,如果您的公司还没有启用VPN,那么则应该立即行动起来,采购和部署从几百块到几万块不等的VPN设备,或者在云计算时代,如果您的公司并没有理想的互联网接入线路,您也可以考虑租用商业化的公共互联网安全服务,这些服务不仅包含VPN,也包含防病毒、防网络黑客、防数据泄露、在线数据存储和分享等等。

二、负责任地使用电子邮件

网络犯罪分子和垃圾虫们在通过邮件帐户攻击最终用户方面越来越老道,恶意的信息窃贼总是尝试让邮件接收人通过种种方式来泄漏公司和个人信息,而这些,往往都在员工们所不知晓的情况下悄然地进行。

大量商业信息通过邮件发来发去,邮件诈骗事故屡见不鲜,为了保护重要的商业信息,您需要建议员工们:
在开启邮件附件或点击邮件内相关链接之前进行必要的判断,如果比较可疑,就不要开启。
特别小心.exe之类的可执行文件,因为在开启它们之后会立即执行恶意程序。
使用复杂的邮箱密码,以防止黑客侵入邮箱并且实施犯罪活动。

三、聪明地使用智能终端设备

IT设备变得越来越移动化和消费化,这使得员工们可以轻松地在私人设备上运行工作任务,高效率的同时也带来了一些安全问题,比如为攻击者开放了新的入侵大门,所以说智能手机和平板设备等便携式移动计算终端让数据安全的管理变得更加复杂。

我们需要制定和发布适当的自带计算设备BYOD策略,以便员工们能够知道在什么时候以及如何将他们的私人移动设备用于工作事务。移动计算安全策略应该包含针对智能终端的安全指引,比如密码锁定政策、公司支持的以及不允许用于工作的终端设备(型号)、应用程序安装及管理指南、安全事件报告流程、设备跟踪以及远程数据删除建议等等。

最后,我们要补充一下,即使能够做到上述三项,并非能够保障业务安全万无一失。不过话说回来,尽管安全专家们在安全事故之后往往会说安全防范是系统化的体系工作,这并没不仅仅是借口。人人都知道事后诸葛亮算不了什么,但是我们的确需要员工们拥有更多的防范技能,不过这需要给人们时间来吸收、理解和支持。

mobile-and-wireless-security

信息安全保密教育工作漫谈

信息安全保密工作涉及国防、政治、经济、科技和民生等多个领域,关系到国家安全与企业利益,其重要性自不必多言。从国家政府机关到社会企业机构,都有重要的机密和信息资产需要保护,然而,信息安全与保密工作不仅仅只是安全、保密等专业人员的工作。大量的信息安全事件和失泄密事故表明:人们脆弱的信息安全与保密意识是导致事件频发的根本原因,因此,所有能够接触到机密和信息资产的人员都需要掌握必要的信息安全与保密知识,以构建一道全民参与信息安全与保密工作的全面的防护体系。

对全体国民尤其是公务人员、事业单位人员和企业员工进行信息安全保密教育,提高全民安全意识,是当前非常必要和迫切的工作。昆明亭长朗然科技有限公司信息安全保密意识教育专员董志军对此表示:对于党政军等公务人员来讲,违反信息安全保密规定或要求,会带来国家安全风险,导致自身遭受纪律处分,获得通报批评、严重警告、辞退/撤职、被判刑等等。对于众多企业来讲,违反信息保密要求亦可能带来严重损失,包括核心知识产权失窃、技术和商业机密的丢失,进而导致竞争力丧失,当然涉事员工可能会获得罚款、解聘、甚至遭受起诉。

目前,很多机构不知道如何搞好信息安全保密教育,其实信息安全与保密教育也是一个不断改进的工作过程,我们可以从最开始的宣传页、海报、手册、刊物、课堂培训等等的发放开始做起,有这些东西,尽管不是很好,但是也比什么都没有要强出很多。自己没有办法设计制作的,可以网上找一些,采购一些,通常平面设计作品的价格都不高,花了不几个钱。

我们说了,这个工作是不断改进的,在平时多少会有一些同行业的或自己单位内部的信息安全事件或失泄密事故,不管是外部的,还是内部的,都值得拿来当做教程,真实的案例往往更能被受众理解。因为信息安全保密事件发生的渠道和方式可能有很多,所以案例当然要尽可能多,尽可能接近实际工作,这样的话,碰到类似情形,受众就会有相关的教训可参考,进而减少人为因素造成的信息安全事故和失窃密事件的发生。

时代在变化,对于新世代的就业人员,可以尝试搞一些新型的宣教方式,比如卡通漫画、短视频、电子学习、模拟互动游戏,知识竞赛等等,同时鼓励受众提交信息安全与保密的隐患和工作改进建议,奖励积极的信息安全保密实践者,这样能活跃气氛,让信息安全保密知识更可亲,带动受众参与的积极性。

当然啦,随着社会的发展变化,信息安全与保密相关的新特技、新威胁、新问题、新要求不断出现,信息安全保密教育同样面临着前所未有的机遇与挑战。还是那句话,我们要持续不断改进信息安全保密教育工作,不断创新方式方法,以不断发现问题和解决问题。

为帮助各类型的组织机构提升员工的安全意识,形成一道强有力的安全人员防线,应对数据泄露和网络入侵,保护合法的收益免受不法威胁,昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898