源自内部的安全事故调查分析

有8成的组织确认发生过由于员工的疏忽大意或内部人员的恶意而造成数据丢失事故,一项由昆明亭长朗然科技有限公司主办的数据安全调查表明:只有极少数3%的受访者自信没有发生过由于员工的问题而造成数据丢失事故。

不可否认的是,数据的丢失会给各类公司机构带来或多或少的损失,而丢失数据的获得者可能是有意愿的,也可能是无意愿的。有意愿获得这些数据的多数是和组织机构有关系的,比如投资者、供应商、客户、商业合作伙伴以及竞争对手,当然也有一些其它的一些关注者比如媒体、社会大众、行业从业人员和监管层等等。

历经多次大型黑客攻击事故之后,我们知道即使将信息系统或数据放在那儿不去动它们,也可能会丢失,因为安全毕竟是一个动态的过程,新的系统弱点会被陆续发掘出来,而新的安全威胁也会不断出现。所以,我们依据行业最佳实践,建立了信息系统安全作业流程,比如漏洞扫描流程、补丁修复流程、渗透测试流程和安全测评流程等等。

在系统层面,包括主机、操作系统、网络、数据库和应用等层面,我们进行了有效的防范安全入侵事故的防范措施,这些是必须肯定的。与此同时,我们却常常忽略了这些信息系统、信息数据以及安全控管措施和安全操作流程的操作者、使用者和受影响者,只有人们的安全认知水平达到了适当的层次,整体的安全管理体系才算完善。

而在信息安全管理体系中,人员是最复杂的元素,不会像系统那样可以精准无误而忠诚地接受安全指令,也不会像系统那样永不懈怠。人毕竟是活的生灵,人们可能会在安全控管方面疏忽大意,更可能会误解和忘掉正确的安全操作实践……

既然大部分的数据丢失事故和内部员工有关,就应该开始着手解决,而方法无疑是加强对员工们进行必要而充分的信息安全意识教育了。