从棱镜事件新进展看员工信息安全监管

big-brother-watching
2013年夏秋,斯诺登无疑是网络安全界的红人,这位前美国中央情报局雇员,美国国家安全局技术承包人,于2013年6月在香港将美国国家安全局关于棱镜计划监听项目的秘密文档披露给了英国《卫报》和美国《华盛顿邮报》。随后,斯诺登遭到美国政府及英国政府的通缉。

斯诺登生于1983年6月21日,是一名典型的“80后”,并且是一名佛教徒,他约有$200,000美元的年薪,与女友在在夏威夷一起过着舒适的生活。按照常规,他虽从“体制内”离开,但也算是有成就的人士,为什么会被雇主博思艾伦咨询公司在6月10日以“违反公司道德和企业政策”为由解雇呢?通常来讲,雇佣双方如果对薪金报酬或员工休病假而不满,不至于上升到公司道德和企业政策层面,因为这样显然对员工不公——无疑会让员工日后较难在行业中混下去,而公司也会落下个不好的名声。显然,这时候甚至在此之前,博思艾伦咨询公司已经很清楚斯诺登存在问题,否则也不会轻易批准他以“癫痫”病为由而暂时离职。

斯诺登解释了自己披露这些文档的理由,说自己“愿意牺牲掉这一切(工作、收入、女友)(把真相告诉世人),因为美国政府利用他们正在秘密建造的这一庞大的监视机器摧毁隐私、互联网自由、和世界各地人民的基本自由的行为让他良心不安”。这听起来让人们觉得他是一名正义的热血青年,可事发后被公众知晓之后,斯诺登的雇主博思·艾伦·汉密尔顿却谴责他的行为是“令人吃惊的”和“对我们公司的行为准则与核心价值的严重违犯”。人们可能会觉得,博思艾伦咨询公司在立场上会维护大客户美国政府,从言语措辞上看,其对前雇员的态度明显严厉了很多。

这么说来,我们可以确定的是博思艾伦咨询公司在帮助美国政府监控互联网,但却没有监控好自己的员工。而斯诺登显然也很不认同博思艾伦咨询公司的行为准则与核心价值观,这雇佣双方似乎本身不应该在一起的,不是么?那我们应该得到什么启示呢?昆明亭长朗然科技有限公司企业安全分析员James Dong称:有人可能认为博思艾伦咨询公司不应该聘用斯诺登,可是斯诺登明显是一名“潜伏”者,谁知道后来他“变异”了呢?所以问题的源头并非在员工招聘层面,美国公司在招聘职员时,多有严格的背景审查,和安全相关的岗位更是如此。

我们需要肯定斯诺登本性是好的,然而这么一位“性本善”的员工却做出这种“令人吃惊的”事情来,让人力资源及信息安全管理人员不免瞠目。我们再分析一下斯诺登的那句话,他认为“美国政府的行为让他良心不安”。既然如此认为,您应该早日退出,不和他们继续玩儿了,为何还要说服20来名员工索取他们的帐户和密码来获取更多涉及机密的信息呢?所以,我们认为,斯诺登不但不认为美国政府的行为不当,他自己则有更强的越权监控欲望,这与他声称的“对隐私的价值怀有强烈的热情”恰恰相反。从信息安全管理角度来看,疏于对员工们进行帐户和权限的管理才是这起轰动全球的信息安全事件的根本起源。NSA亡羊补牢,对向斯诺登分享帐户权限的职员们进行了必要的惩戒,“秋后算账”让员工们明白了保护帐户和密码安全的重要性,但却无法挽回斯诺登棱镜事件造成不良影响。所以,加强用户的信息安全意识教育,让员工们了解到分享帐户权限是不正确的信息安全行为,才是保护信息安全的重要防范举措。而建立适当的敏感信息访问审计流程以及帐户及登录行为审计,及时发现并报告和处理异常情况,也是必不可少的安全运营管理工作。

当一个小职员掌握了大量涉密信息的时候,他有两个选择,一、默默地独自欣赏;二、充分地利用它们。斯诺登聪明地选择了后者,这无疑会让他的人生更加精彩。不过,试想,如果当斯诺登向第一名同事索取帐户和密码的时候,他的可疑行为便被通报给了信息安全管理人员,还会有后来的故事么?所以,我们不仅得教育员工们不分享自己的密码,也需要他们会识别可疑的信息安全事件,并且能够和愿意立即向信息安全管理部门和人员报告。

职场80后,90后日渐多起来,年轻人们的思想观念更加自由开放,如何让新一代职场人士更加遵守公司的行为准则和核心价值观呢?从公司培训角度讲,员工培训很重要,从信息安全角度讲,信息安全意识培训是保障职场新人们的行为合乎规范,进而确保业务安全和公司信誉的关键。我们制作了多部的信息安全事件报告培训视频和课件,以期能够帮助员工信息安全管理人员。

当然,我们有数百部安全、保密及合规课程模块和三百余部动画视频,如果您有兴趣,欢迎联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

聊聊内部安全威胁

内部威胁涉及那些拥有组织系统或信息访问权限的个体所发起的安全漏洞或攻击行为。这些威胁可能源自故意或无意的行动,均对组织的安防体系构成严重挑战。

内部威胁的分类如下:

  1. 恶意内部人员:指有意滥用其访问权限,从事如数据盗窃、扰乱运营或进行间谍活动的个体。
  2. 疏忽内部人员:因疏忽、缺乏知识或判断失误而无意中造成安全风险的个体。
  3. 被入侵内部人员:其账户凭证或访问权限被外部攻击者盗用或破坏的个体。
  4. 不满内部人员:对组织持有敌意,寻求报复或发泄不满的个体。

应对策略:

内部威胁源自拥有敏感信息和系统访问权的个体,对组织安全构成显著风险。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:尽管很多组织虽然承认却不愿挑明内部威胁,以避免“伤员工感情”,但是来自内部安全隐患却是最重要的安全威胁,逃避不但不解决问题甚至还会让问题恶化。因此,组织应当采纳全面的内部威胁管理计划,包括以下方面:

  • 技术措施:包括访问控制、行为监控和日志记录等。
  • 人力资源管理:涉及背景调查、安全意识培训以及员工筛选等。
  • 文化和组织结构:致力于建立信任和问责文化,并为员工提供心理健康支持。

以下为组织可采取的减少内部威胁的具体措施:

  1. 实施精细化的访问控制:确保只有那些工作职责需要访问敏感信息和系统的员工才能获得相应权限,以防止未授权的数据和系统访问。
  2. 监测员工行为模式:定期分析员工,尤其是那些能够接触到敏感信息的员工的行为,以便及时发现潜在的恶意活动迹象。
  3. 采用基于角色的访问控制:确保员工仅能访问与其职责相关的系统和数据。
  4. 推行双因素身份验证:要求所有员工在访问关键系统和数据时采用双因素身份验证。
  5. 安全最佳实践教育:定期对员工进行安全培训,教授如何识别和报告可疑行为。
  6. 进行彻底的背景调查:对新员工执行全面的背景审查,以排查任何潜在的恶意历史。
  7. 制定事件响应计划:建立事件响应机制,以应对安全事件,并确保员工了解紧急情况下的应对措施。
  8. 监督第三方供应商:对能够接触到敏感信息和系统的第三方供应商和承包商进行监督。
  9. 利用内部威胁检测工具:运用专业软件或服务分析用户行为,以识别异常。
  10. 提供心理健康支持:为员工提供心理健康服务,解决可能导致内部威胁的个人或工作相关问题。
  11. 培养信任与问责文化:建立一个员工愿意报告可疑行为并对自身行为负责的文化环境。
  12. 鼓励道德举报:激励员工举报不道德或可疑行为,并提供多样的举报途径。
  13. 定期执行安全审计:定期审查组织系统和流程,以发现并修复安全漏洞。

总结而言,通过采取积极且全面的内部威胁管理策略,企业能够有效降低内部人员造成的安全事件的风险和影响。值得注意的是,内部威胁管理是一个持续的过程,需要定期评估和更新,以应对不断演变的威胁态势。

组织必须认识到,由于对授权个体的天然信任,内部威胁的检测和预防具有挑战性。因此,建立一种鼓励员工报告可疑行为并对自身行为负责的文化至关重要。通过实施上述措施和推广安全意识文化,企业能够显著降低内部威胁的风险,确保其资产的安全。

安全意识教育是建立负责任内部安全文化的基石,它提升员工认知,形成自觉遵守安全规范的良好习惯。如果您对本课题有兴趣,或者需要建立负责任的网络安全文化,或者需要对员工进行安全意识教育,请不要客气地联系我们。我们提供相关的产品和服务,包括安全意识宣教素材和远程在线意识教育服务。

昆明亭长朗然科技有限公司

  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:james@securemymind.com
  • QQ:1767022898