国家网络安全宣传周旨在通过国家层面的网络安全宣传,鼓励全民通过参与宣教活动,提升网络安全意识和技能,同时,也让如网信、工信、公安、电信、金融、交通、能源、教育、电商等公共部门和重点行业参与良好的网络安全实践。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:对于这些重点行业,甚至更为广泛的政企行业,国家层面的网络安全宣传显然是不足够的。一些通用的,一些通用的基础知识可以击败最常见的攻击,并有效防止公民隐私数据(个人信息)泄露,进而防止新型网络电信诈骗等威胁攻击。但是,组织机构面临的网络威胁,远不止网络电信诈骗犯这些,更多的外部威胁可能包括黑客、数据窃贼、商业间谍、灾难性的破坏等等,内部威胁包括不满的员工、影子IT、内鬼或叛徒等。
员工们每天都会做出对其业务安全产生负面影响的决定。因此,为了保护好组织机构,员工们需要在线安全方面的智慧。然而,在网络安全业内,有一些人将员工意识视为一项培训问题或一次性的宣传活动。其实并非如此,培训或宣传并不足够,因为这是一个持续存在的文化问题。从新员工收到他们的计算机设备并开始打字的那一刻起,他们就是潜在网络攻击的目标。黑客每天都在寻找受害者,新员工很容易成为目标。当员工被录用时,他们通常会更新他们的社交媒体个人资料,拍照并进行分享,他们会谈论他们的头衔并表现出他们有多兴奋。只是在这样做时,他们没有意识到在这个阶段他们是多么容易成为网络攻击的受害者。因此,组织机构应该花一些时间教育用户社交媒体的安全技巧,与其忽视这一事实,不如在新员工入职培训期间主动谈论网络安全。
如果概念和技术快速、轻松且易于理解,人们最愿意接受安全性。在安全文化建设方面,我们建议让安全意识培训成为新员工入职流程的一部分。大型组织机构往往有将培训添加到网络安全预算之中。根据国际标准,理想的预算分配是将35%的预算分配给普通员工的网络安全素养(包括网络安全基础知识),而保留65%的预算用于提升技术专业人员的技能,并鼓励专业人员获得高级网络安全职业认证。这样,在网络攻击事件期间,普通员工和专业人员可以协同合作,共同参与到风险识别、风险管理、安全事件报告与处置、灾难恢复、损害控制和业务持续性计划之中。
随着时间的推移,员工可能会产生一种错误的安全感。最终,他们将降低对网络攻击的警惕并成为更容易的目标。毕竟,人性的弱点包括疲劳、麻木、大意等等。所以,最重要的网络安全培训技巧之一是定期重复安全意识培训,这样就可以让员工们在网络安全方面时刻“全副武装”并做好应对任何攻击的准备。
要使员工网络安全培训成为一个持续的过程,可以偶尔向员工发送包含基本“网络卫生”规则的电子邮件。例如,提醒定期更改密码或检查防病毒软件的启用和更新。密码安全是政企行业进入安全王国的金钥匙。不仅需要制定良好的密码政策,亦需要教导员工如何以及为何使用它们,并进行例行检查以确保所有员工都能保护好自己的账户。补丁修复至关重要,各种规模的组织机构,包括机关单位和公司企业都需要有一个补丁更新程序,以确保所有软件和系统定期更新,员工们需要了解相关的原理以及其及时安装更新并按提示进行设备重启的职责,以便可以根据需要实施紧急修复。
此外,请保持留意新出现的、引人注目的网络安全事件(新型威胁),并将其及时传达给员工们。通常来讲,攻击方法不会在一夜之间发生巨大变化,但是网络罪犯会不断将注意力转移到更有利可图的目标或更容易进入的端点。例如,在无法通过正面找到可利用的主机安全漏洞时,黑客可能会通过绕道内部其它计算终端,或者使用洪水攻击让防火墙失效,或者利用应用程序的逻辑弱点。
当员工们跟上网络威胁的演进速度时,他们会做好更好的准备。因此,经常更新安全意识内容以告知新策略并分享改进的应对技巧,非常重要。同时,如果将安全性视为一个易于接受的过程和持续的承诺,则可以帮助防范所谓的影子IT和影子数据的危险。在云计算和人工智能应用越来越成熟、稳定和面向企业时,很多业务部门的经理 /主管会青睐其易用性和便利性,却忽视其对组织机构的安全性威胁。专业人员和明白人都知道不能以易用性和便利来牺牲安全性和保密性,如果关键业务流程和数据被置于IT控制之外的云服务,数据被处理和暴露的风险会增加,违法违规的风险也会增加,无疑会给业务带来不可估量的影响,甚至给埋下一个地雷。但是,业务部门的经理 /主管们可能并不了解这些,普通的员工们更是如此。组织机构的数据应该只能在可控的可信的设施设备上运行,未经适当的评估和许可,不能随便使用荒蛮的云存储和云计算服务处理业务流程和重要数据。这是个常识,但是需要普及,如果管理层和普通员工们都了解这个道理,随便使用如某某云文档、某云盘、某在线OCR、某云打卡等等的行为就收敛很多,甚至消失不再。
提高安全性的一种方法是将其融入企业文化,网络安全意识文化可以对网络安全计划的成功产生重大影响。强调风险分析的企业领导者也可以在工作中为积极的安全文化做出贡献,进行过严格且可辩的风险分析的管理人员能够就安全投资做出明智而合理的决策,从长远来看,这会提高组织机构的安全态势,并具有使安全团队享有良好的可信声誉。比如对于选择实施“清洁办公桌”政策的公司企业来说,行政领导是不可或缺的,根据该政策,在无人值守时必须锁定屏幕,并且必须通过钢缆锁固定笔记本电脑。领导们基本上树立了选择并遵循这些安全行为的榜样,如果经理领导们认真执行,普通员工们没理由不遵守。反之,如果经理层抵制,普通员工也没有任何明确的动机去遵守。
组织机构可以投入大量精力并花费宝贵的资源来加强他们的安全态势,但是如果高层没有发出强有力和一致的基调,他们就会失败。这对组织机构的安全非常重要,高层领导将全力支持并积极倡导安全目标。设定期望并有效地传达它们有很长的路要走。这样做不仅可以支持网络安全计划,还可以减少网络安全事件。为了充分抵御威胁,员工们应该在生活和呼吸中时时留心安全。
制定可接受的安全行为基线,或者说正当用途政策,非常重要,虽然不能期望制度规范一下子包含到所有内容,但是如果知道自己的规范是什么,那么当出现偏差时就有优势,并且可以果断地做出反应。制度规范的改进总是不断的,这也是行动中的安全。所有系统以及其上所存储或借助其所创建、发送或接收的任意信息或消息均为组织机构的财产。确保正确使用系统是每个用户的责任和义务。当声明了这些之后,每年对所有用户进行相关的网络安全培训,非常必要且师出有名。
在密码管理之外,权限管理是保障业务及数据安全的关键。限制和强制访问措施必不可少。原因很简单,不是每个人都需要随时访问所有内容。事实上,数据暴露得越多,面临的风险就越大。可以而且必须制定规则,允许大多数用户只访问他们需要的内容。设置并保持可审计的申请流程处理员工们的账户及权限请求许可很有必要,有很多IT管理系统可以使用。这样做会强制执行必要的检查和平衡,从而支持良好的系统安全性。
定期的检查和监控必不可少,人员是流动的,业务也是动态变化的,有些人员工作变动了,可能就不需要某些系统的访问权限了。了解信息系统资源,对其进行标记、跟踪,并更新添加或删除到系统中。检查和监控行动,对于侦测、防范或调查内部犯罪也是非常重要的。
为了应对网络安全事件,安全人员还要重点进行安全事件报告和响应方面的体系建设。安全经理与员工的关系应该以一种让员工愿意报告问题或错误的方式来培养。创造一种员工因挺身而出而获得奖励的文化会更有效。如果员工们怀疑存在安全弱点或系统漏洞,应立即通知安全事件响应团队。切记:有效的网络安全计划不应建立在责备和恐惧之上。如果因为员工们的疏忽大意就将安全事件的后果和责任归咎于员工们,那必定将进入一个死胡同,肯定会限制安全管理制度流程的成功。此外,责备文化会助长不良安全感,当员工害怕遭到报复时,他们不太可能在发生事件时挺身而出,这最终可能会使信息基础设施及其数据面临风险。如果员工们出差在外时,把如平板电脑或笔记本电脑信息资产搞丢了,则应立即向主管和IT运营部门报告。当员工们知晓重要是的及时报告安全事件,以获得主管和安全团队的协作,尽量挽回可能的进一步损失,尽量维护组织机构的信息安全之时,他们无疑会有正确且积极的行动。当然,前提仍然是安全意识教育培训和鼓励报告安全事件的组织文件。
组织网络安全文化不仅取决于一个团队的工作,还取决于所有人员的贡献。通过授权安全人员专注于安全基础知识,让员工参与交互式安全意识培训,并让管理人员提供一致的支持安全的基调,组织机构可以创建一种人人都参与其中的整体网络安全文化。在这里,听起来好像有些太麻烦了,实际上如果在学习管理系统上部署安全意识培训,则会比预想的要简单的多。学习管理系统LMS的部署和使用也比预想的要容易和有效很多。
昆明亭长朗然科技有限公司推出了大量的安全、保密与合规意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有关于信息安全、知识产权与隐私保护相关的法规科普,以及员工们需知的数据安全及保密知识。同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划。欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验学习管理系统的功能以及洽谈采购合作。
