疏忽/意外事件使內(nèi)部威脅保護政策處于危險之中

責任編輯:editor005

作者:Ben Cole

2016-03-23 14:31:08

摘自:TechTarget信息化

Steve Durbin:內(nèi)部員工的惡意攻擊,主要出于經(jīng)濟利益或意識形態(tài)原因,目的是偷竊信息,或破壞企業(yè)。我之前所說的那些階段,評估信息,控制到位,決定誰能夠訪問信息,都是確保你能夠建立和員工之間信任的基礎。

內(nèi)部員工的惡意攻擊通常是內(nèi)部威脅保護工作的重點,但疏忽和意外事件作為數(shù)據(jù)安全威脅,卻往往被忽視。

技術進步和不斷變化的工作環(huán)境,迫使企業(yè)將信任交到那些處理敏感公司信息的員工手中。商業(yè)信息的內(nèi)部威脅是一個重大問題,企業(yè)安全政策嚴重依賴員工密切遵守管理條例,以確保數(shù)據(jù)受保護。

Information Security Forum (ISF)的總經(jīng)理Steve Durbin認為,內(nèi)部威脅不僅限于惡意員工尋求經(jīng)濟利益。最近的ISF研究發(fā)現(xiàn)疏忽和意外事故也會危及內(nèi)部威脅保護,越來越多成為數(shù)據(jù)安全事故。在本期問與答中,Durbin討論ISF的研究發(fā)現(xiàn),和實施內(nèi)部威脅保護的最佳方案。

ISF的研究發(fā)現(xiàn)了哪些與內(nèi)部威脅相關的結果?最近幾年,這些類型的威脅是如何發(fā)展的?

Steve Durbin:內(nèi)部員工的惡意攻擊,主要出于經(jīng)濟利益或意識形態(tài)原因,目的是偷竊信息,或破壞企業(yè)。但是還有其他兩種類型,內(nèi)部員工的疏忽和意外事件。疏忽是指知曉企業(yè)數(shù)據(jù)安全政策的員工:假設我們有一個規(guī)定,防止員工向企業(yè)外的人員甚至企業(yè)內(nèi)的人員,發(fā)送大型文件,比如使用Dropbox。但是這個員工發(fā)現(xiàn),他想要發(fā)送對象的電子郵箱有文件大小限制,于是,他們會說,這一次就破例,把文件放在Dropbox,這樣對方就可以訪問了。

這就是疏忽,知道有一個數(shù)據(jù)安全政策,但是采取措施避開它,出發(fā)點通常是好的。還有意外事件,不管出于什么原因,員工犯了一個錯誤,發(fā)送了錯誤的信息給不應該收到它的人。他們沒有特意避開數(shù)據(jù)安全政策,沒有故意去這樣做,只是犯了一個錯誤。意外事件往往是安全部門最難解決的類型。和我們的成員交談,問他們企業(yè)內(nèi)的意外事件,他們認為大約30 - 40%的安全事故是由一些個人的意外行為造成的。

這更強調(diào)了需要溝通,意識,培訓,那些安全部門正在努力的所有事情,并且在過去的一年內(nèi)花費了大量資金,但仍然沒有取得重大成效。

企業(yè)能做些什么來保護他們的業(yè)務數(shù)據(jù),避免這些類型的內(nèi)部威脅呢?

Durbin:企業(yè)必須經(jīng)過一系列的階段。首先是評估被處理信息的價值,使他們對于信息的重要性有清晰的認識。他們必須聯(lián)合業(yè)務部門一起做,這不是安全部門單獨能做的。一旦完成了評估,你可以進行技術和管理控制。然后我們進入第三階段,也就是評估訪問信息的個人,和他們?yōu)槭裁葱枰L問這些信息。

以上這些并不能完全解決意外事件。第四階段,要建立信任。讓員工明白他們在訪問和保護信息完整性上,所扮演的職責。這取決于不同的部門,不同的職能,但是要從員工角度清晰表明職責,以及從雇主角度清晰表明職責。

我之前所說的那些階段,評估信息,控制到位,決定誰能夠訪問信息,都是確保你能夠建立和員工之間信任的基礎。我們不可能防止所有的意外事件,但是通過提高整體意識,明確不同的職責,你可以期望降低概率,員工在行動前,停下來思考,而不是直接采取行動。

對于內(nèi)部威脅保護,什么類型的培訓被證明最有效,特別是針對那些不知道自己犯錯的員工所造成的意外事件?

Durbin:有效的培訓,包括進行這一方面的模擬,強調(diào)一些事件,以及它們是如何發(fā)生的。關鍵是信息的流動, 我認為這再次強調(diào)了要信任員工,并且解釋這些事件,發(fā)生的根本原因,以及需要注意的事情。

信息的流動肯定會有所幫助。同時,更好地與業(yè)務部門互動,明確這些是關鍵業(yè)務問題,而不僅是安全問題。 我們所談論的一切都不僅是安全問題,這關系到企業(yè)如何管理他們的信息,如何保護信息的完整性,以及確保信息在合適的時間出現(xiàn)在合適的地方。很明顯,其中也有困難。你必須有相應的企業(yè)數(shù)據(jù)安全政策,流程和步驟,供員工參考,你必須在企業(yè)內(nèi)各級中執(zhí)行它們。

多年來,我們一直相信安全應該從企業(yè)高層開始。鑒于現(xiàn)在的數(shù)據(jù)威脅數(shù)量,你認為企業(yè)是否有足夠的安全意識?

Durbin:我們看到一些改變。當然,最近的研究顯示,各類企業(yè)內(nèi),C級管理層對于安全的意識有所增加?,F(xiàn)在,我不認為有任何企業(yè),不以任何形式或方式在網(wǎng)絡中運營。如果現(xiàn)實是如此,那么網(wǎng)絡安全必須列入企業(yè)最高管理層的議事日程。

當然,還有其他各種各樣的原因,我們處理信息,特別是敏感信息的法規(guī)和條例的增加,持續(xù)聚焦董事會成員的職責。這其中的實際問題:企業(yè)必須面對網(wǎng)絡對于他們的業(yè)務是關鍵因素,這樣一個事實。也許他們保護信息的方式,與股東,客戶,供應商交流的方式,需要以網(wǎng)絡化的方式刷新,以確保擁有適當級別的安全流程和步驟, 以防止信息意外損失,或失竊,以防信息落入錯誤的人手里。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號