該報告強調(diào)了和人員有關(guān)的網(wǎng)絡(luò)風(fēng)險的不斷升級,特別是在過去一年中,全球20%的組織報告了涉及遠程工作人員的網(wǎng)絡(luò)安全事件。
SANS研究所安全意識總監(jiān)Lance Spitzner表示:“數(shù)字世界正在迅速擴張,隨著網(wǎng)絡(luò)安全成為全球網(wǎng)絡(luò)威脅的主要目標(biāo),網(wǎng)絡(luò)安全中的人為因素變得越來越重要。”
值得注意的是,該研究報告指出,以強大的團隊和領(lǐng)導(dǎo)支持為標(biāo)志的成熟安全計劃的特點是其安全意識團隊中至少有三名全職員工。
和人員有關(guān)的網(wǎng)絡(luò)風(fēng)險成為主要的威脅
企業(yè)面臨的主要威脅包括網(wǎng)絡(luò)釣魚、電話釣魚和短信釣魚攻擊;使用先進工具降低密碼/身份驗證風(fēng)險;為有效偵測/報告而培育網(wǎng)絡(luò)安全文化的挑戰(zhàn);以及IT管理配置錯誤的風(fēng)險,尤其是在復(fù)雜的云計算環(huán)境中。
與前幾年一樣,提供安全意識仍然主要被認為是企業(yè)內(nèi)部安全團隊的兼職工作。值得注意的是,70%的安全意識從業(yè)者透露,他們今年將一半或更少的工作時間用于網(wǎng)絡(luò)安全。這種見解凸顯了在企業(yè)日常運營中提升持續(xù)網(wǎng)絡(luò)安全意識重要性的持續(xù)挑戰(zhàn)。
研究表明,專門從事人類風(fēng)險管理的專業(yè)人員的收入比從事更廣泛安全工作的同行高出5%。這凸顯了各行業(yè)領(lǐng)域?qū)@些技能的需求和價值不斷增長。
增加項目成功的關(guān)鍵行動
(1)關(guān)注風(fēng)險
企業(yè)領(lǐng)導(dǎo)者和安全團隊通常認為安全意識并不是安全的一部分,而是與管理風(fēng)險無關(guān)的合規(guī)性工作。為了幫助改變這種觀念,要關(guān)注人類風(fēng)險管理,并從這個角度來闡述。人類風(fēng)險更有可能與大多數(shù)企業(yè)的戰(zhàn)略安全優(yōu)先級保持一致,獲得企業(yè)領(lǐng)導(dǎo)者的支持,并與安全團隊產(chǎn)生共鳴。
企業(yè)領(lǐng)導(dǎo)者幫助安全團隊成員了解如何為他們提供幫助,并與他們一起確定最重要的人為風(fēng)險和管理這些風(fēng)險的關(guān)鍵行為。展示有效的溝通、培訓(xùn)和參與如何改變這些關(guān)鍵行為并降低人類風(fēng)險。與安全運營中心(SOC)、事件響應(yīng)(IR)和網(wǎng)絡(luò)威脅情報團隊合作,不僅可以了解他們的工作,還可以向他們展示如何幫助克服與人類風(fēng)險相關(guān)的挑戰(zhàn)。
(2)領(lǐng)導(dǎo)層的支持
每月花兩到四個小時收集有關(guān)安全意識計劃的影響和價值的指標(biāo),并將這些價值傳達給領(lǐng)導(dǎo)層。這些信息可以包括非正式指標(biāo)、既定的關(guān)鍵績效指標(biāo),甚至是成功案例,使領(lǐng)導(dǎo)層能夠更好地理解并定期看到其計劃所提供的價值。
(3)團隊規(guī)模
雖然技術(shù)安全一直是企業(yè)關(guān)注的焦點,但安全的人為方面經(jīng)常被忽視。這種不平衡使得勞動力成為網(wǎng)絡(luò)攻擊的誘人目標(biāo)。例如一個50人的安全團隊中有49人專注于技術(shù),只有一人來管理人類風(fēng)險,這種情況并不罕見。這種對以人為本的安全投資不足導(dǎo)致了人為網(wǎng)絡(luò)風(fēng)險的突出。
Spitzner說:“在當(dāng)今的網(wǎng)絡(luò)威脅形勢下,每年以合規(guī)為重點的培訓(xùn)的傳統(tǒng)模式是不夠的,所以我們在報告中都包含了實用和可行的建議。根據(jù)我們的數(shù)據(jù),從消除涉及電子郵件釣魚的最高人力風(fēng)險到克服確保充足資源和預(yù)算的共同挑戰(zhàn),我們的目標(biāo)是為企業(yè)提供必要的工具,以改善其人為風(fēng)險管理策略,并幫助確保企業(yè)主動投資于人員,資源和工具,以強有力地消除網(wǎng)絡(luò)安全風(fēng)險的人為因素。”
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。