不管是从信息技术还是财务审计的角度看,各种资产都需要受到保护,不管是实体的和数字的,以免受到内部和外部的威胁。有趣的是,无论组织尝试保护哪种资产,保护它们的方法都非常相似。因为我们生活在一个物理世界之中,所以所有的东西,甚至连上数据,都将在物理层面以其最基本的形式存在。对此,昆明亭长朗然科技有限公司信息安全培训专员董志军补充说:人力资源记录、工程设计图、客户服务说明、生产方法和制程等等也都存在于物理领域。因此,要保护好组织的关键资产,重要的是要实施必要的安全保护措施,这些措施包括:技术防护措施、物理防护措施和人员防护措施。
安全保护措施的类型
- 技术措施是指旨在为组织网络中包含的数据提供数字保护的硬件或软件措施。如防火墙、黑客入侵侦测、加密算法、防病毒程序等均被视为技术保护措施。
- 物理措施是指设计和实施的屏障和监视设备,它们可以用来可防止对保存组织数据的物理网络设备造成直接的物理伤害。如栅栏、门禁、安全摄像机、备用系统、安全警卫等均被视为物理保护措施。
- 人员措施是指旨在指导组织中所有人员的政策和程序,人员包括从高级管理人员到最终用户的员工。如输入、管理和保护所有关键数据的信息的正确的计算机和网络操作。
技术保护措施
保护网络和数据的手段首先是技术保护措施。让我们看看常见的技术保护措施,包括直接处理数字数据传输的措施,例如数字防火墙、网络入侵检测系统、防病毒程序、网络流量嗅探器、渗透测试、备份媒体、加密措施、电子取证软件以及无线加密等等,这些都是组织可以实施的一些措施。这些都是必要的,不过如果没有相应的物理保护措施和人员保护措施,也是不够的。
一些信息技术专业人员非常擅长确保其网络具有最新的技术保护措施。这些技术人员以很少有病毒成功入侵网络而感到自豪,并且是网络安全方面的专家。这些信息技术专业人员定期安装安全补丁,并不断监视网络,网络上的任何活动都逃不出他们的掌握。
尽管这些信息技术专业人员擅长保护数字数据不受潜在网络犯罪分子的侵害,但有时缺乏实际的物理安全性。缺乏物理和人员安全性的问题不容忽视,甚至有时由信息技术人员完成的数字式堡垒只能起到提供安全性的幻象作用,而实际上网络很容易受到内部威胁的攻击。
物理防护措施
当我们突破仅仅是1和0的存储数据限制之时,很快就会认识到所有数据都是以物理形式存在的。这些1和0都存储在物理硬盘驱动器上,需要对其进行物理保护,以免受外部和内部攻击。组织的敏感记录必须保存在数据库中,该数据库通常位于物理服务器机房中。安全的机房、通风、灭火系统、结实的门锁是正确保护组织服务器的一些基本要求。如果没有适当的物理安全措施来阻止未经授权的人员访问服务器机房,那么服务器硬盘驱动器上包含的数据库就会轻易曝光于大庭广众之下。其它物理设备如计算机、路由器、显示器和网络基础架构的部分也是如此。不管在网络网关处安装的防火墙有多好,如果计算机的磁盘驱动器没有受到物理保护,则未经授权的用户可以轻松地从网关内部将恶意软件直接上传到其他计算机上,其中的所有数据都会受到威胁。
人员保护措施
人员保护措施可以应对组织网络、最终用户和计算机所面临的最大风险。无论是由于能力不足、培训不足、意外的错误还是故意的作恶,最终用户都在他们工作的网络上施加着惊人的力量。通过设计和实施良好的策略,可以减轻、管理、转移最终用户所构成的许多威胁,并且在某些情况下可以完全消除这些威胁。
雇用人员并允许其访问组织的网络始终存在一定程度的风险。接受这种风险是开展业务的一部分,但是,管理人员可以通过要求雇员完成全面的岗前流程来减轻这种风险。此过程应包括几个项目,以提高成功缓解与人员相关的风险的机会。首先,面试应包括一项技能评估测试,以确保新聘员工至少掌握了就业所需的最低技能。此外,如果员工已达到最低技能要求,则可以放心地假设自己将能够学习更多知识,并且按照工作要求进行的进一步培训也不会白费。
除了进行技能测试外,对于可能接触计算机的所有人员,进行背景检查都是一项不错的措施。对于所有将来会处理资金、健康记录或客户信用卡信息的员工,应将背景调查视为绝对必要。有许多公司专门提供低成本的背景检查并可提供即时的结果,因此在决定实施招聘过程的步骤时,可以考虑外包给他们。
招聘中经常被遗忘和忽视的另一个方面是对相关资料的检查。如果新员工列出了推荐人,请给他们打电话。如果未提供推荐人,请至少提供三个参考,然后联系他们进行检查。如果在被要求时不提供推荐人,请不要雇用该人员。不要后悔没有雇用到一名“感觉良好”的人,相反,当雇用某人之后才发现他严重危害了组织的安全,那才是真的悔之莫及。通过彻底审核新进员工可以避免许多安全问题,因此,无论在组织中做出安全选择之前,请必须确保严格认真地遵守这些要求。
管理与人员相关的风险还包括适当的安全培训、对流程进行持续审查以及对安全系统进行定期的审核。一旦对新进员工进行了适当的审查,作为组织的新手,下一步就是对其进行培训。培训不仅应包括如何执行工作要求,还应包括对组织的安全策略的全面普及。在适当的地方,应该讨论安全性并将其融入员工工作的各个方面。
转移与人员相关的风险管理风险的一种选择是转移到另一个实体。这种风险转移通常有两种方式:要么将对关键流程的授权和责任交给另一个实体,要么购买了保险。例如,专门从事客户服务的第三方公司可以处理来自客户的来电和问题。可以聘请人力资源顾问来处理公司的许多人力资源问题,例如会计公司可以为公司财务提供财务上负责且符合安全要求的处理方式。制造公司雇用第三方供应商来构建产品的组件和子组件,以降低管理费用,同时还能少雇佣一些员工,避免人员直接与公司网络系统进行交互带来的安全风险。
开除对组织及其资产安全构成特定威胁的员工是消除单一威胁的一种方法。但是,由于人员是动态的,因此应对与人员相关风险的要求时刻都在变化,切记我们永远无法完全消除人员风险。
在建立信息安全政策和程序时,请仔细考虑所概述的措施在日常实践中是否可行。因为人们总是会找到规避规则的方法,他们认识那些规则影响了有效地完成工作。对此,董志军说:组织需要改善信息安全意识教育,使员工们不仅知道他们应该做什么,而且知道他们为什么要这样做以及不遵守规则的后果。
通过与众不同的信息安全意识计划与活动,让员工们不会陷入安全政策和程序根本不适用于他们的困境,进而让员工们更容易记住并遵守适用于其工作职能的安全规则。那些安全规则建立了预期的和可接受的组织资产使用和保护行为。此外,由于书面的指导难以涵盖所有的偶然性,因此用户还必须在日常工作中进行安全决策时,使用合理的判断和最高的道德标准。昆明亭长朗然科技有限公司专注于信息安全管理体系中人员保护措施的研究,我们通过帮助客户向员工们提供安全意识培训,来降低人为因素带来的信息安全风险。欢迎就这一话题联系我们,也欢迎有员工信息安全意识相关教育培训的机构联系我们,洽谈业务合作。
昆明亭长朗然科技有限公司
- 电话:0871-67122372
- 手机:18206751343
- 微信:18206751343
- 邮箱:info@securemymind.com
- QQ:1767022898
