减轻互联网安全风险的方法探讨

cyber-security-risk-mitigation

当今商业领域不得不面临严峻的网络攻击问题,越有争议的事务、越知名的产品、使用率越高的服务则越容易成为攻击者的目标。如何有效应对来自互联网的各类安全风险呢?

一句“网络有风险,上网需谨慎”的警告语并不足够,我们需要在保障安全的同时满足业务战略拓展需求。昆明亭长朗然科技有限公司互联网安全分析师James Dong整理了几点互联网信息安全风险应对策略。

首先,要强化高层领导,主管业务的总监经理们有时可能并不会将互联网安全放在足够重要的地位,但是出现安全事故后他们是必须负责的。要有效降低互联网安全风险,获得高层的大力赞助和支持是关键。除非高层是十足的商业赌徒或者是油盐不进的冒险家,否则我们都应该向CEO、CFO、CIO等等宣讲互联网安全的重要性,并获得他们的理解和认可,更关键的是要高层给予适当的领导支持、管理支持和资金支持。

其次,通过不断的监控来持续优化信息资产监管、识别风险并进行分类分级、分析和评估风险应对措施、以及测量风险控管的效果。信息安全威胁不断演变,互联网安全环境也日益恶化,打造动态的威胁应对空间是有效降低信息安全风险的关键措施。

然后,制定业务持续性计划和灾难恢复计划,尽管在风险控管上有使用PDCA等科学方式进行不断的计划、实施、监控、测试和改进,我们仍然需要防范万一。在强大而猛烈的互联网信息安全威胁的袭击之下,没有任何信息系统能够万无一失。我们需要对最坏的情况有所准备,如何在受到确认的网络袭击之后,能够迅速恢复业务运作,将与数据、金钱和信誉等相关的损失降至最低。

最后,则是信息安全教育培训,越早将正确的信息安全观念和指南引入各个商业流程及信息系统,越能省出精力和获得更好的安全风险控管绩效。可是人们往往不懂这个浅显的道理,非要在信息安全事件发生并带来严重损失后方才重视。要说这些风险控管道理以及信息安全基础为人们所理解和支持,各类型组织机构应该在员工培训方面发力。为了让培训真正获得必要的效果,我们应该为所有的员工提供适当水平的安全意识培训。

需知,仅仅提供员工信息安全培训并不足够,我们需要建立一个衡量培训有效性的矩阵并付诸实施。如果旧的培训模式并不好使,则应该勇于尝试新的更适合组织(公司)的方法,直到找到更有效的方法。昆明亭长朗然科技有限公司采用国际领先的综合信息安全水平评估体系,可以帮助各类型的组织机构不断衡量和改进信息安全培训绩效,从而有效减轻互联网安全风险。除了自制大量信息安全培训内容资源外,我们也开发制作了多种在线信息安全意识平台,包括在线考试、意识评估、模拟钓鱼、社工渗透、线上学习、网络竞赛等等。搭配各种创新的安全意识宣教方案,不仅能用于模拟测量员工的信息安全意识水平、衡量当前培训模式的有效性,更让安全意识宣传活动变得丰富多彩,网络安全理念深入人心。欢迎有兴趣和需要的朋友联系我们,在线亲身体验我们的作品、平台,以及洽谈宣传计划和项目合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:[email protected]

QQ:1767022898

分享几招安全意识宣教的战略战术

IT安全专员使用各种技术和工具来保护公司的重要以及敏感​​数据,但是其中最重要的安全方法,也就是安全意识培训,却经常被忽略。防病毒、防火墙和备份在IT安全领域中扮演着关键角色,但是最终,受过良好的安全教育和训练有素的员工才是帮助保护组织信息安全的核心要素。IT安全团队要避免花费无数艰苦的时间与病毒作战、填补安全性差距、正确恢复文件……对此,昆明亭长朗然科技有限公司信息安全管理体系专员董志军表示,各类型组织中的信息安全从业人员,都需要在组织范围内,对员工们进行必要的安全意识培训。当然,每年一度的PowerPoint展示仅能混混日子,是远远不足够的,如下,我们向您分享几条这方面的战略方法和战术技巧:

掌握知识是成功的一半。赋予员工们足够的安全知识永远不是坏事。信息安全团队可以开展简短的安全意识教育活动,例如通过电子邮件发送安全知识点滴,以告知员工有关勒索软件与恶意软件之类的公司安全概念,或借助餐厅的电视宣传屏,告知员工们如何识别社交工程企图的知识。员工通常会由于无知而导致违反安全的行为,因此,设置“信息安全基础入门”之类的学习课程,将大大减少由于员工人为错误而引起的安全性问题。

不要躲避阴暗的一面。确保员工重视安全的一种方法是威慑他们,尤其在不重视规则的文化圈。向员工们说明不遵守安全惯例的风险和后果,包括可能被解聘、甚至处以罚款和交由司法诉讼。在安全意识培训期间,与员工们分享公司、行业和全世界的安全案例故事,以传达不良安全实践的影响。如果不方便使用内部案例,请与您的团队分享知名机构最近发生的重大安全漏洞的故事。时刻跟踪业界安全事故,定期上网搜一搜安全违规案例,这样就可以不断积累和更新素材,在进行宣教时,就更易抓住受众的心,获得他们对安全要求的理解和认可。此外,在对团队进行安全意识教育时,可以使用可能会影响到他们个人的示例。例如员工认为自己的个人银行业务和信用卡信息可能受到威胁的话,则他们更有可能养成良好的安全习惯。

如果心存疑虑,便将其丢弃。信息安全意识培训的核心概念是告诉员工们不要打开可疑链接或下载奇怪的文件。无论您是定期发送安全意识电子邮件,还是进行线上培训课程,您都应始终重复并执行这一核心思想……不要打开奇怪的东西。告诫员工们切勿打开意外的附件或链接。这包括来源不明,甚至已经来源的奇怪附件或链接。另一个通常被忽视的安全意识培训项目是教育员工不要使用奇怪的U盘或USB存储驱动器。众所周知,USB设备价格低廉,数据窃贼会将USB设备留在公共场所,那里面装有旨在窃取信息的木马病毒。而且,U盘体积很小,容易丢失。

保持计算机设备的清洁。应用安装的越多,安全漏洞和可能导致的问题也就越多。您的组织可能对可以在计算机上安装和访问的内容有明确的规则,但是这些规则是否得到有效传达和遵守?确保员工们知道信息安全规则。在您的组织内部网站上清晰地发布相关规则,或频繁发送安全意识培训电子邮件,以尽可能清晰地转发重要的安全点。不能过于依赖上网行为管理,员工们并不傻,如果没有足够的安全合规意识,他们中的聪明人可能会找到很多突破上网行为管理的方法,这反倒很不利于信息安全与保密管控。保持清洁可以不仅限于计算机设备,还是包括桌面,因为桌面上还会有很多计算机之外的信息、设备和财物。定期的办公区安全检查是不错的安全意识宣教辅助手段。

坦诚沟通,而不要躲躲闪闪。一方面,信息安全专员要站在组织的立场上,向员工们强调安全要求的必要性,采取开放的姿态,讲述可接受的信息(系统)使用准则,员工行为安全监控等等。另一方面,要鼓励员工们及时报告安全违规情况和安全威胁事件。对网络造成危害的员工通常会感到尴尬,要避免这一点,需要鼓励其尽早发声,由于员工个人的不慎,将病毒引入组织甚或导致数据泄漏的情况很常见,这往往并非员工本身的恶意行为,因此员工们没有任何隐藏的理由。如果您认为自己可能已成为网络钓鱼诈骗的受害者或下载了病毒,请迅速采取行动。立即让信息安全团队了解情况,并收集尽可能多的信息以采取必要的应对和防范行动,以避免和挽回可能的损失。

综上所述,信息安全团队进行了大量的幕后工作,以确保组织的网络安全。然而,赋予员工们强大的安全习惯可以将安全带到一个新的高度。切记:“谨慎是安全之源,小心行得万年船。”多年来,昆明亭长朗然科技有限公司专注于信息安全意识宣教业务,我们帮助大量各种类型各种规模的客户对员工进行安全、保密与合规意识的宣传教育,获得了大量的好评,欢迎有兴趣和需求的客户及行业伙伴们联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898