大多數首席信息官都能夠很好地保護網絡、加密敏感數據,并保持客戶信息的安全,但他們可能忽略一個明顯的漏洞:最終用戶。
讓最終用戶安全地思考
網絡教育提供商Cybrary安全專家兼主題專家(SME)Anthony Harris表示:“你已經投資了尖端的安全軟件,你擁有很棒的IT人才,但你也要考慮最終用戶。營銷人員、銷售人員、管理人員等最終用戶通常完全沒有準備好應對網絡釣魚詐騙、社會工程計劃,他們往往是造成數據泄露事故的原因。”
安全解決方案供應商Clearswift公司產品高級副總裁Guy Bunker表示,用戶是你最薄弱的環節,但他們也可能成為你最大的資產。
Bunker表示:“對于安全,用戶既是最大的財富,也是最薄弱的環節。用戶‘知道’流程方面正在發生什么,以及遵守和被忽略的政策,他們可以是評估安全措施有效性的‘晴雨表’。”
Bunker稱:“對于不安全的流程,或者沒有預期安全的流程,尤其是如此。然而,用戶必須接受教育。例如,他們必須明白很多類型的惡意軟件安裝在應用程序中,需要進一步的操作才能實現攻擊,例如,當他們點擊一個鏈接,然后系統要求安裝某種軟件,這很可能是惡意軟件,所以他們需要將此事報告給IT或者遵循明確定義的流程。”
教育是關鍵
加強安全措施的最有效方法之一是讓最終用戶知道他們在企業安全最佳做法中的角色。Cybrary公司的Harris目前正在開發一套課程來教導最終用戶如何識別最常見的威脅、在BYOD設備使用高強度密碼以及如何預防常見的安全泄露事故。
Harris稱:“我們主要專注于教育用戶如何應對日常持續性威脅,我們希望最終用戶知道網絡釣魚電子郵件是什么樣子,以及他們可以如何檢查出這些社會工程策略的合法性。最終用戶應該積極參與企業的安全策略,而不是在他們不明白這些最佳做法背后的原因時盲目聽從命令,”
安全溝通
有效的安全教育應該是雙向的。企業需要進行定期的溝通以及信息共享,特別是圍繞有針對性攻擊的信息共享。圍繞安全的這些溝通不必是大型的會議,安全對話應該是日常業務的一部分來幫助最終用戶了解安全是每個人都應該關心的。
“你可以定期發送電子郵件、公告或簡報,或者提供更為正式的計算機或教師指導的教育和培訓。你還可以提出個人化以及使用他們家庭生活的建議,”Bunker稱,“把媒體上刊登的報告(特別是成功的網絡釣魚攻擊等)作為實例,來幫助員工識別潛在的攻擊。”
可靠的戰略
安全解決方案提供商Blue Fountain Media公司Mike Ricotta稱,教育和培訓還需要輔以強大的戰略和流程來應對威脅。
“適當的安全戰略是很好的開端,但執行和維護最佳做法始終是運營人員的職責,”Ricotta表示,“通常情況下,企業的漏洞不需要大量人才來維護,有時候只需要確保你更新了最新軟件。由于社會工程仍然是入侵的主要方式,企業可以通過內部流程、程序和權限來限制‘人為錯誤因素’。”
技術是最后一道防線
當然,世界上所有的教育不都是萬無一失的解決方案。總是可能出現這樣的情況:最終用戶點擊他們不應該點擊的鏈接,或者安裝惡意軟件或激活病毒。企業應該部署一個計劃來快速報告、發現和消除這種問題,以確保數據和信息的安全性。
Bunker說道:“確保你的最終用戶知道在數據泄露事故發生時打電話給誰以及如何報告數據泄露事故,因為即使你盡了最大努力,這種事故還是會發生。這個過程不一定很復雜,應該類似于消防演習,人們知道怎么做。”
最后,教育還需要結合技術;用戶可能是第一道防線,而技術則是最后一道防線。企業應該部署高級防病毒、反垃圾郵件和自適應數據丟失防護解決方案來防止所有渠道的重要信息丟失。
Bunker表示:“教育、流程和技術相結合的解決方案可以幫助企業最大限度地減少信息安全風險。凡事預則立。”