源自内部的安全事故调查分析

有8成的组织确认发生过由于员工的疏忽大意或内部人员的恶意而造成数据丢失事故,一项由昆明亭长朗然科技有限公司主办的数据安全调查表明:只有极少数3%的受访者自信没有发生过由于员工的问题而造成数据丢失事故。

不可否认的是,数据的丢失会给各类公司机构带来或多或少的损失,而丢失数据的获得者可能是有意愿的,也可能是无意愿的。有意愿获得这些数据的多数是和组织机构有关系的,比如投资者、供应商、客户、商业合作伙伴以及竞争对手,当然也有一些其它的一些关注者比如媒体、社会大众、行业从业人员和监管层等等。

历经多次大型黑客攻击事故之后,我们知道即使将信息系统或数据放在那儿不去动它们,也可能会丢失,因为安全毕竟是一个动态的过程,新的系统弱点会被陆续发掘出来,而新的安全威胁也会不断出现。所以,我们依据行业最佳实践,建立了信息系统安全作业流程,比如漏洞扫描流程、补丁修复流程、渗透测试流程和安全测评流程等等。

在系统层面,包括主机、操作系统、网络、数据库和应用等层面,我们进行了有效的防范安全入侵事故的防范措施,这些是必须肯定的。与此同时,我们却常常忽略了这些信息系统、信息数据以及安全控管措施和安全操作流程的操作者、使用者和受影响者,只有人们的安全认知水平达到了适当的层次,整体的安全管理体系才算完善。

而在信息安全管理体系中,人员是最复杂的元素,不会像系统那样可以精准无误而忠诚地接受安全指令,也不会像系统那样永不懈怠。人毕竟是活的生灵,人们可能会在安全控管方面疏忽大意,更可能会误解和忘掉正确的安全操作实践……

既然大部分的数据丢失事故和内部员工有关,就应该开始着手解决,而方法无疑是加强对员工们进行必要而充分的信息安全意识教育了。

安全意识教育计划的重要性

互联网应急中心最近发布了一项关于约1500次数据泄露事件的分析发现,其中有88%的违规行为可以追溯到糟糕的安全习惯和人为错误。在网络安全业界,不同的厂商会互相竞争和掐架,强调自有安全产品和技术方案对整体安全的重要性,不过,所有网络安全专家都有一个共同的观点,那就是不充分的培训加上未受过教育的员工是许多安全漏洞的根源。

然而,许多公司和组织仍然忽视安全意识培训。结果员工们随意点击陌生链接、访问恶意网址、开启不明文件和附件,进而引入如勒索软件、木马程序等恶意软件,造成重要数据泄露。如何让员工们明白他们不应该浏览不良网站或点击来自陌生人员的电子邮件中的链接呢?各类型的公司和组织需要一个完善的和良好维护的安全意识教育计划,该计划将解决这些类型的人为错误。

制定和维护安全意识教育计划是不是很耗用人力物力呢?好消息是,安全意识教育计划不需要花费任何费用,而且可以相当快地实施。公司和组织不应该做的是被动地等待国家和行业相关法规要求,相关法规在制定中,只不过法规的制定是滞后的,在大多数公司和组织得到明确的合规要求指示甚至严厉的惩罚时,很可能已经发生了数据泄露事件。

近十年来,昆明亭长朗然科技有限公司帮助各类型的客户建立了适合的安全意识教育计划,如果您也想为自己的工作单位或者客户建立起一套完善的安全意识计划,欢迎您联系我们,索取相关资料及在线课程。

国际安全管理实践证明:员工越多了解他们的安全实践和行为如何影响公司和组织的安全状况,公司和组织就会越安全。确保组织的关键信息受到保护的最佳方法是制定安全教育计划,确保您的计划定期更新,并确保所有新员工和当前员工都能接受并承认安全意识培训。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898