减轻互联网安全风险的方法探讨

cyber-security-risk-mitigation

当今商业领域不得不面临严峻的网络攻击问题,越有争议的事务、越知名的产品、使用率越高的服务则越容易成为攻击者的目标。如何有效应对来自互联网的各类安全风险呢?

一句“网络有风险,上网需谨慎”的警告语并不足够,我们需要在保障安全的同时满足业务战略拓展需求。昆明亭长朗然科技有限公司互联网安全分析师James Dong整理了几点互联网信息安全风险应对策略。

首先,要强化高层领导,主管业务的总监经理们有时可能并不会将互联网安全放在足够重要的地位,但是出现安全事故后他们是必须负责的。要有效降低互联网安全风险,获得高层的大力赞助和支持是关键。除非高层是十足的商业赌徒或者是油盐不进的冒险家,否则我们都应该向CEO、CFO、CIO等等宣讲互联网安全的重要性,并获得他们的理解和认可,更关键的是要高层给予适当的领导支持、管理支持和资金支持。

其次,通过不断的监控来持续优化信息资产监管、识别风险并进行分类分级、分析和评估风险应对措施、以及测量风险控管的效果。信息安全威胁不断演变,互联网安全环境也日益恶化,打造动态的威胁应对空间是有效降低信息安全风险的关键措施。

然后,制定业务持续性计划和灾难恢复计划,尽管在风险控管上有使用PDCA等科学方式进行不断的计划、实施、监控、测试和改进,我们仍然需要防范万一。在强大而猛烈的互联网信息安全威胁的袭击之下,没有任何信息系统能够万无一失。我们需要对最坏的情况有所准备,如何在受到确认的网络袭击之后,能够迅速恢复业务运作,将与数据、金钱和信誉等相关的损失降至最低。

最后,则是信息安全教育培训,越早将正确的信息安全观念和指南引入各个商业流程及信息系统,越能省出精力和获得更好的安全风险控管绩效。可是人们往往不懂这个浅显的道理,非要在信息安全事件发生并带来严重损失后方才重视。要说这些风险控管道理以及信息安全基础为人们所理解和支持,各类型组织机构应该在员工培训方面发力。为了让培训真正获得必要的效果,我们应该为所有的员工提供适当水平的安全意识培训。

需知,仅仅提供员工信息安全培训并不足够,我们需要建立一个衡量培训有效性的矩阵并付诸实施。如果旧的培训模式并不好使,则应该勇于尝试新的更适合组织(公司)的方法,直到找到更有效的方法。昆明亭长朗然科技有限公司采用国际领先的综合信息安全水平评估体系,可以帮助各类型的组织机构不断衡量和改进信息安全培训绩效,从而有效减轻互联网安全风险。除了自制大量信息安全培训内容资源外,我们也开发制作了多种在线信息安全意识平台,包括在线考试、意识评估、模拟钓鱼、社工渗透、线上学习、网络竞赛等等。搭配各种创新的安全意识宣教方案,不仅能用于模拟测量员工的信息安全意识水平、衡量当前培训模式的有效性,更让安全意识宣传活动变得丰富多彩,网络安全理念深入人心。欢迎有兴趣和需要的朋友联系我们,在线亲身体验我们的作品、平台,以及洽谈宣传计划和项目合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:[email protected]

QQ:1767022898

手握金蛇守护安全

不少医疗机构的标识都和蛇有关,这不仅仅和蛇代表的“复活”、“新生”意念相关,蛇更代表着平安与延续。平安和延续这两个概念无疑与信息安全紧密相关,的确,只有信息安全得到了足够的保障,业务风险得到了适当的管控,业务持续性计划得到了正确的实施,基业才能获得持续的经营和保持永青。

尽管今天人们所做的各类商业决策从某种意义上来讲都是在“冒险”,但是和唐代冒着生命危险的“捕蛇者”来讲,算是幸福得不行了。相信不少国人都能熟读甚至背诵柳宗元的大作《捕蛇者说》,对于“捕蛇者”来讲,“蛇”即是危机生命的安全威胁,也是获得生存利益的源泉。如何掌控好这些毒蛇,趋利避害,最重要的是拥有一身控管毒蛇的真本领。

而在公司治理、风险管理和信息安全等领域,也是如此,各类安全威胁客观存在,只有控管好它们可能带来的商业安全风险,方可逢凶化吉,确保成功。

控管商业风险不仅仅是消除风险或转移风险,更多的是将风险水平降至可接受的级别,这无疑也需要不少的勤奋努力和“真实本领”。不过,在信息安全风险管理“真实本领”方面,目前人们关注的不仅仅是安全控制软硬件系统或设备的功能或性能,而开始更多关注“人员”的安全能力,即安全“软实力”。的确,再先进的设备也需要拥有相关本领的“人员”来操控才能充分发挥作用。这同样也是历史的教训,近代几次历史性的外敌入侵,在硬件设备力量上,我们并不弱,但我们却多败在“人员”的软实力上。

公司的成功越来越依赖信息系统尤其是信息数据,除了中央信息系统需要IT来保障安全运行之外,更多的信息数据往往零散地分布于员工们的终端设备和头脑之中,要保障这些信息数据的安全,无疑需要强化IT安全人员和最终用户的信息安全“真实本领”或称安全“软实力”。对于安全专业人员,无疑意味着需要有高超的专业技能;对于大量的最终用户,亦即能接受到信息数据的普通员工们,落实下来便是他们的信息安全意识能力。

只有安全专业人员和最终用户同时掌握了必需的安全技能,整个事业的风险才能控制在有效的水平。昆明亭长朗然科技有限公司为了帮助各类组织有效控管信息安全风险,自主设计和开发了“手握金蛇守护安全”捕蛇生存互动挑战游戏,不仅适用于安全专业人员来把玩,来衡量自己的安全技能,也适合大量最终用户来通过信息安全意识测试题检验自己的安全意识水平,看是否符合公司整体安全风险控制的最低需求。

“手握金蛇守护安全”捕蛇生存互动挑战游戏的背景借助《捕蛇者说》中的永州,但是又充分结合当今的社会现状,特别是考虑了信息安全从业人员的职业挑战、大批城市普通白领员工的工作状态以及城市化过程中带来的一系列社会问题。尽管许多社会问题并非信息安全所能解决,但是在互动游戏中加入这些元素能拉进与玩家的心理安全距离,特别是在蛇年使用“蛇”这种人们即恨又爱的动物作为“安全威胁”来捕捉,乍看有些牵强,细细品味则能发现捕蛇与安全竟然有如此强烈的意念关联。