员工安全意识

员工自带计算设备的安全保密管理实践

admin

回顾历史,为了保障信息安全,使员工只可以使用公司(或其他类型的组织机构)的计算机设备,通过移动方式访问公司资源(例如电子邮件)的方式,曾经是非常受欢迎的。由于设备属于公司,因此公司可以完全控制设备的配置、使用和安全性。但是时代在变化,随着消费性移动计算设备的盛行,企业级的移动计算再也无法回避员工自带计算设备。

近年来,个人购买供私人使用的面向消费者的移动设备,如智能手机、平板电脑等等具有执行电子邮件、通过网络访问文档、运行基于Web的应用程序等功能。已经购买了此类设备以供个人使用的员工更愿意使用该设备进行工作任务或业务交易,而不是额外携带一份公司分配的计算机设备。

对此,昆明亭长朗然科技有限公司移动计算安全专员董志军称:随着云计算和移动化的深入渗透,传统的信息安全控管方式面临着新的挑战,如何控制员工在工作过程中安全地使用自己的个人设备访问、存储和传输企业拥有的信息,成为IT、安全与保密人员们的共同难题。如下,我们将与您一起分享让员工自带计算设备的安全保密管理实践。

一、确定访问公司的网络和数据的人员

这一点明显,也是最基本的。通过加强用户账户管理,可以最大程度地提升信息安全性。及时清除不再需要远程访问公司的人员账户,定期检查哪些帐户可用于公司的电子邮件服务、VPN服务、内部具有自己的用户数据库的网络应用程序等等。看其中是否有不应该(如已离职人员、承包商等)的访问活动,是否有活动异常的帐户(如大量不成功的登录等等)。

二、确定用户们可以远程访问哪些数据

公司的某些特定信息有着特殊的价值,如果落入外部人员的手中,会使公司受到损害,因此必须小心保护。严格控制敏感或涉密数据的访问人员,并记录详细的访问记录,有助于降低数据泄露的相对风险。因此,需要花费足够的精力来控制对具有最敏感数据的访问,可以不花力气或使用少量精力来控制对具有低风险数据的访问。

三、确保能够配置员工的移动计算设备

对于公司数据,移动设备特别受关注,因为它们极易遭受物理损害。如果某员工的设备落入他人手中,则该员工用权访问到的所有工作数据都面临着丢失或泄露的风险。所有主流的移动设备平台中都存在安全漏洞,最有效的防御方法是,确保正确配置所有将用于访问网络的计算设备,以减少从设备中丢失数据的风险。使用准入控制工具,在进行账户管理如添加新账号工作时,对终端移动计算设备的安全配置进行检查,是一种有效的控制手段。

四、制定员工移动计算设备使用管理规范

确保员工安全配置其设备的最基本方法是向他们提供口头或书面说明,说明如何执行此操作并期望他们遵守相关政策。不过,这种方法存在潜在的问题,即使是勤奋的员工,也往往会忘记指令,除非进行严格的培训,否则他们可能会在第一次交流后按照说明进行操作,但是随着时间的流逝,他们会忘记,而让他们的设备陷入更具风险的配置中。一项最好的方法是借助工作来确保规定的落实,使用可以自动报告设备配置并帮助或强迫员工进行安全设置的工具。今天最常用的工具是移动设备管理工具。也有一些轻型的“移动设备审核”工具,可以不用完全控制员工们的移动计算设备,同时获得该设备安全配置的报告。

五、确保移动管理工具不会损害用户隐私

要知道,即使员工们将其移动计算设备用于访问公司业务数据,设备仍然属于员工所有。因此,取得能够满足双方需求的平衡很重要。公司需要一种确保设备安全配置和使用的方式,以减少丢失公司信息的风险。员工们需要在不直接损害业务数据安全性的情况下将其用于个人用途。因此,要让员工们知道其雇主无权访问不需要访问的信息和内容,它们可能包括GPS位置、个人通讯内容如非企业帐户上的短信或电子邮件等等。一方面尊重员工们的个人隐私,另一方面也避免由于滥用隐私招致法律问题。

六、与员工们保持清晰的安全政策沟通

公司需要清楚地告知使用自带计算设备的员工们,他们正在使用的设备会受到必要的监视和控制。例如:公司可以监视哪些数据?公司可以修改哪些设置?公司将如何使用有关其设备的信息?用户设备使用相关的数据保留期有多长?等等。切记,如果公司需要审核或控制员工个人计算设备,那么可能需要签订书面协议,明确说明可以在其设备上查看或修改的信息。同时,让员工们了解自己的移动安全职责也很重要。这些职责包括:保持设备的安全性配置、及时报告可疑活动、立即报告设备丢失情况或可疑的数据泄露、确保用于公司审核的应用程序处于启用状态等等。

七、制定有关处理数据泄露的响应计划

需知,数据丢失的风险只能降低到适当的水平,而不能完全被消除。从风险管控的科学角度讲,完全消除任何数据泄露的风险的成本是非常高昂的,也几乎是不可能的。因此很有必要为发生数据泄露时的处理做好准备。建立移动计算设备数据丢失应急响应计划,及时通知安全响应团队、立即对受影响的系统进行配置更改、甚至可能会进行必要的取证活动等等。不怕一万,就怕万一,建立了响应计划之后,在遭遇意外的移动计算安全事件时,能够有效地遵循该计划,采取正确的应对行动,将损失降至最低限度。

八、让员工们体验移动计算的快乐和便利

进行上述系列安全控管需要计划、精力和资源支出。不过,这一切努力都会有所回报。公司管理人员能够看到数据遭遇丢失或破坏的风险得到了系统性地减少,员工们会因为他们可以将私人移动计算设备用于工作而感到兴奋,进而提高生产力,而不是觉得公司僵化的政策阻碍了他们的成功。

九、定期审核上述安全工作并不断改进

需要补充的是,随着时间的流逝,定期检查以上提到的所有操作实践非常必要,这是因为IT系统会随着时间的推移而变化,因此,请务必使流程和工具与业务信息系统的当前状态保持更新和一致。当然,对于信息安全与保密管理工作来讲,没有最好,只有更好,不断改进工作是专业人员职业成长和发展的动力,也是保持公司信息安全状态不断迈向更高成熟度的方法。

回顾上述几条关于员工将个人计算设备用于移动化工作的安全保密管控实践,我们不难发现,要保障公司信息数据的安全,需要将安全政策与技术要求、终端计算设备、人员安全意识等因素有效结合并联动起来,这就需要IT、安全、保密团队密切合作,并加强与员工(用户)们的安全沟通。昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升员工们的信息安全意识,我们帮助客户策划和制定安全意识培训及沟通计划,并提供各种安全意识课程内容资源,以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户,以及合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

员工信息安全意识培训

admin

现在,员工网络安全意识培训比以往历史上任何时候都更受到重视,这个行当变得也很热闹。为何如此?因为数据泄露和黑客攻击事件每天都在发生,每天都有相关的网络钓鱼与电信诈骗新闻曝光。在多数情况下,组织机构对此毫无准备,因为管理层不了解风险也者不重视风险。许多公司认为他们不会成为攻击的目标。事实是,不管规模大小、不论哪个行业,所有公司是攻击者的目标,都必须“强身健体”,防范此类攻击,为网络攻击做好准备。

信息安全意识需要从管理层安全意识培训开始,因为管理层担负着终极的网络安全职责,管理层必须认识到网络安全的重要性,做出承诺并且积极支持全员范围内的信息安全意识宣教活动。

网络安全是一个复杂而庞大的主题,很少有人对其有全面的了解。这种非技术性的网络安全培训仅需半个小时,可为高管提供运行有效网络安全计划所需的知识。管理层安全意识和领导力培训旨在对各级管理人员进行安全意识基础教育,以提高他们的安全觉悟并帮助他们推动安全意识文化。学员将掌握他们需要注意的危险以及他们的员工可能犯的常见错误,这些错误能使他们自己和所在组织面临巨大的风险。培训的所有部分都是非技术性的,并且非常简单概要,以确保清楚地传达和理解信息。

组织机构所面临的威胁包括勒索软件攻击和黑客攻击,此外,人为错误也是很重要的组成部分。员工教育是确保员工遵循最佳实践、遏制威胁并营造安全意识文化的最佳方式。

数据泄露对企业的影响可能是毁灭性的。如果机密客户数据被盗,企业可能会受到巨额罚款。监管不合规可能导致罚款、延误、负面公众形象、召回和客户不满。失去信任的后果可能很严重。公司声誉受损可以说是最难恢复的。员工网络安全培训不仅表明您所在的组织机构认真对待客户的机密性,而且这可能是保持企业正常运行的关键,谁都不想因为网络攻击或安全失误而造成业务的全面瘫痪。

员工无疑是网络安全的最后一道防线。针对全体员工的安全意识培训是工作的重中之重。员工安全意识培训是一项通用安全意识培训,旨在教育用户安全的重要性,安全行为对组织整体安全的影响,并提供其在个人生活和公司工作中确保安全所需的知识。培训提供一些简单实用的方法来帮助学员们记住常见的威胁、错误和防御策略,以防止黑客入侵并确保公司安全。

昂贵的安全技术和复杂的尖端系统可以帮助保护业务安全,但是即使信息安全部门已经封锁了所有的网络后门,只需一名员工简单点击链接、附件或网站链接,即可为入侵者打开您的前门,甚至开设一条秘密通道,进而引发灾难性的数据泄露。因此,员工安全意识培训需要成为一项常规事务,适用于日常工作环境内外。

当然,还必须确保员工保护敏感信息,保持关键业务系统正常运行,并且组织完全遵循所在行业的法规。满足合规性的要求是附加的价值。安全意识培训远远超过许多信息安全法规和标准的最低要求,当然也非常适合证明合规性遵从!您所在的组织机构是否需要遵守以下某些项目呢?

网络安全法
数据安全法
个人信息保护法
等级保护
ISO 27001
GDPR
PCI-DSS

此外,员工安全意识培训必须包含网络安全的所有方面,从使用强密码的安全基础到如何检测和响应勒索软件恶意软件攻击。信息安全意识主题通常包括如下:

工作场所及区域安全
桌面安全与清洁
互联网和浏览安全
电子邮件和消息传递
社会工程攻击与电信诈骗
网络钓鱼与钓鱼网站
恶意软件和勒索软件
信息数据的安全保护
异常情况及事件报告
社交媒体的使用准则
远程工作及移动安全
差旅及在家工作安全
可接受的信息系统使用准则
自带计算设备
通过加密保护信息
文件及敏感数据的处理
安全使用WiFi
数​​据泄漏防范
可移动式存储设备
云计算和网络存储
内部威胁的识别与报告
高级持续威胁
安全意识测验

安全培训负责人员可以从上述列表中,选择符合组织机构实情的培训主题。部分叙述性文本(比如单位名称)、音频和图形(比如单位LOGO、整体配色)都可以自定义,以适合组织的需求。我们的课程也会经常更新,以便学员能够及时掌握迅速变化的信息安全形势和挑战,以确保我们的客户能够应对各类新型信息安全威胁。

在对抗网络攻击的战斗中,攻击者转道利用人员(用户)的漏洞,防御者需将员工从安全漏洞转变为坚固的防御资源。不法分子你利用群众的弱点来攻击组织,组织发动群众来反击。故君子之治人也,即以其人之道,还治其人之身。

昆明亭长朗然科技有限公司创作了大量的信息安全意识教程,包括上述各种主题在内的安全意识动画视频、电子图片和电子课件,此外,我们也拥有很受欢迎的在线培训平台及在线培训服务。我们的学习管理系统快速可靠,可为全球范围内的电脑、平板和智能手机等终端设备提供学习课程。我们的课程也可以通过电子课件包的方式提供给您,以便在贵司内部的培训平台上安装和使用。我们提供快速可靠的在线技术服务支持,运维人员时刻待命,大多数需求和问题可在一个小时内得到解决。如果您有相关的需求,欢迎不要客气地联系我们,以洽谈采购及业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898