如何有效“防民之口”

信息数据泄密问题催生了大量的安全技术和软硬件产品,加之严格的安全控管流程使用,使得机要部门能够在一定程度上控制机密数据的出入。

不过,如果员工存心泄密,再高超的技术控管系统也得面对员工们的灵活多变,员工们可能会把单位所有的机要信息存储在大脑之中,而在公司监管范围之外,比如下班之后回到家里或者到竞争业者的处所凭着记忆将它们还原回来……

如果说防范有意的泄密可以通过保密协议等手段帮助,那么员工们在无意间通过口头造成的信息安全数据外泄则是非常难防。俗话说:“防民之口,甚于防川。”特别当员工们认为受到了压制,可能会在适当的场合及时段表现出强烈的反弹行为。员工们在公司之外谩骂甚至控诉公司的安全规章制度和管理流程都会给公司带来负面的影响。

哲人讲:“哪里有压迫,哪里就有反抗。”我们需要的是让员工们理解到保障安全的种种措施并非压迫,这就需要进行适当的员工沟通,沟通的关键问题在为什么要使用这些安全措施,这些安全措施的使用对公司以及员工本人有什么好处,从员工们的角度来说服员工们是最好的沟通方法,也最能取得员工们对安全的理解和支持。

要想有效堵住员工的口,防止“祸从口出”,可以在工作场所和公共区域,设置监控监听设备,以及监听员工们的工作电话,甚至还可以在重点的敏感区域设置通讯信号阻断或语音网络隔离系统。

这些监控监听设备对于多数员工都能起到一定的震慑作用,并且在安全事故的事后调查分析中的确会有很大的帮助。不过安全界有言“防范胜于救治”。在事故之后惩罚员工可能帮助警示其他人,但是却付出了巨大的代价,公司可能已经遭受了无法有效挽回的损失,员工可能不满相关的处罚,内部士气也可能因此而受挫,甚至好员工在实施正确的行为时候也会畏手畏脚。如何能让员工刚刚萌发的“恶念”被及时打消,才是安全管理的高境界。即使多数时间都能遵纪守法的好员工也可能在某些时候萌生不法念头而采取错误的行动,经常“心怀不轨”的员工也可能会有善心,也可能被感化而从良。

防止“祸从口出”,就要让员工们了解哪些信息可以在哪些地方对哪些人说,哪些信息在哪些时候不能对哪些人说,要让员工们认识到信息数据的安全等级,以及依据这些等级,自己可以披露的权限。否则,即使是乖乖好员工也可能会在进行正常业务工作时,为自己不小心说错的话而担心吊胆。

我们需要安全管理的科学和艺术,即如何让员工们在面临选择的时候,能够走向维护安全的积极一面,而不是试探或者铤而走险呢?昆明亭长朗然科技有限公司的安全行为研究员James Dong分享了简单的技艺,便是让员工们在开口讲话时注意两点:一、我是否有权披露这些信息?二、对方是否有权了解这些信息?

三星公司研发团队里的人只能和团队里有权限知晓的人沟通新产品相关的消息,他们不敢也不会对其他人讲起和这份荣耀的工作相关的细节,因为他们知道他们自己没有权限披露最高机密,其他人包括家人和朋友也无权从他们那里获取。当三星Galaxy S III首席工程师ByungJoon Lee的长子问起他是不是在做这款手机时,得到的回答是“我真的不知道。”

想要有效“防民之口”,不能仅仅依赖录音,摄像这些装备和“大棒”政策,也需要利用“胡萝卜”,让员工们从内心深处理解和接受这些安全政策和措施对雇佣双方都有利。我们更需要加强员工安全意识沟通,及时堵住“祸从口出”总比等到口头泄密之后打一嘴巴子要高明及和谐多了。

mouth-to-ear-secret-sharing

解决“社会工程学攻击”网络安全难题

网络罪犯广泛地使用社会工程攻击来潜入组织内部,并使用巧妙的方法欺骗公司员工和个人,以哄骗目标机构涉密或内部的信息数据,这种攻击方法很复杂。尽管现在的防御措施也越来越强大,但是仍然有大量的网络安全事件发生,这显得有些矛盾。对此,昆明亭长朗然科技有限公司网络安全顾问董志军表示:这个问题并不是新鲜的,网络安全管理负责人应该更清晰地认识到防范网络罪犯,不仅仅是IT部门通过技术手段可以解决的问题,更是需要得到用户的理解和支持。

美国安全机构的一项权威统计数据称:近几年,确定的社交工程受害者人数每年增幅高达270%。国内一项针对CSO和CISO们的最新的调查表明,网络信息安全管理者目前最头痛的是高素质网络安全人才的缺乏,其次便是如何保护组织中最薄弱的安全环节,也就是组织机构内部的最终用户。说到底,在网络安全管理者越来越认识到网络安全博弈便是人才的竞争之时,犯罪分子的眼光也瞄向了人员的安全弱点。

什么是社会工程学攻击

社会工程学是一种操纵公司员工的简便而有效的方法,目的是使他们泄露机密而宝贵的公司信息。社会工程学有多种方法,使用这些方法的攻击者通常很善于进行心理操纵,以种种复杂的方式瞄准毫无戒心的员工,寻找非常机密的信息,例如密码、银行信息等,甚至控制计算机以在系统中安装某些恶意软件。

可以肯定地说,这些攻击者们知道目标组织网络中确实存在的安全漏洞,毕竟这个世界中没有弱点的人员和机构是几乎没有的。由于组织机构在网络安全中存在无法识别的弱点,因此职员们可以将机密信息泄露到无法修复的难堪程度。社会工程学骗子往往藏人群之中,他们甚至是您和其他职员们经常遇到并与之打招呼的那些面孔。通过玩儿耐心和信任的游戏,不法分子们一直在关注容易上钩的目标。因此,您和其他职员们都应该熟悉社交工程技术,以便可以在有价值的信息遭受恶意破坏之前识别出具有恶意意图的不法分子。

社会工程学攻击的严重性

尽管社会工程学的后果很严重,成为网络安全业界一个非常严肃的问题,但是一直以来,几乎没有很好的解决方案出现。分析原因有如下几点:

  • 攻击者越来越多地通过诱使人们自己动手来感染计算机,比如通过诈骗电话、网络钓鱼和恶意电邮,当然这些只是使员工亲手伤害公司声誉的几种老套方法。
  • 窃取移动计算设备隐私及涉密数据的移动应用程序多到令人震惊,据行业专家评估,每天有约高达几十亿条敏感数据被各种应用从后台悄悄取走!普通的智能手机用户可以轻松地下载恶意的移动应用程序,从而帮助攻击者获取信息!
  • 由于社交媒体正以极快的速度传播,社交平台上网络钓鱼的可能性是恶意软件的数十倍,因此,在社交媒体正成为黑客创建虚假信息并针对最终用户进行诈骗的主流媒介。

保护您所在的组织机构免受社会工程攻击

不是东风压倒西风,就是西风压倒东风,知难而上保护脆弱的职员避免将隐私及涉密的信息数据交给恶意手中已成为当下迫切需要解决的问题。安全保密总监、经理和主管们,是时候要制定社会工程学反击计划、预防策略了!

为了帮助各种类型机构的安全保密管理人员更好地检测社会工程学攻击,昆明亭长朗然科技有限公司创作了大量的社会工程学攻击案例,包括动画视频和讲解模块儿,共同组成一些可供选用的培训课程,我们对各类社会工程学攻击所涉及的多种方法进行深入浅出的介绍,以希望能够帮助各类型的组织机构可以使用其对员工们进行安全保密意识宣教,进而从根本上防止受到相关的损害。欢迎有兴趣和需求的客户及行业合作伙伴们联系我们,洽谈采购与合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898