如今,各種威脅到企業信息化的行業已經司空見慣,而最近幾年企業紛紛轉向分析數據,以幫助防止信息泄露。分析可以幫助確定哪些企業信息是最脆弱的,并對那些缺乏數據保護知識與經驗的員工進行安全流程的培訓。
GreyCastle公司安全首席信息官瑞格·哈尼什表示,盡管如此,許多公司仍然在網絡安全方面感到困擾,僅僅是因為管理者不利用它的優勢。在這個問題環節中,哈尼什討論了商業領袖通過數據分析信息,知道企業所面臨的最大的網絡安全是什么?以及可能會忽略哪些有關潛在威脅。
記者:你認為目前企業面臨的大型企業網絡安全風險是什么?有什么新的或前沿的技術策略可以有效地幫助保護企業的數據?
瑞格·哈尼什:我們理解企業所面臨的威脅有著非常普遍的意義,但絕大多數企業領導人,其中包括主管和經理都不是很愿意接受擺在他們面前的這樣的數據。從網絡安全的角度來看,我們很難知道發生了什么事情,受到的襲擊來自何方,以及襲擊者偷走了哪些數據。但是,即使你有這樣一個數據,把它在企業決策者面前,而他們自己對此有一些認知偏差和情緒,他們在網絡安全決策做得并不是很好。
瑞格·哈尼什
我會在兩方面回答你的問題:一、組織的外部威脅變得越來越復雜,而且威脅也會很快的增長。二、在組織內部,如果你是一個組織的首席執行官,那么我問你,“你面臨最大的網絡安全風險是什么?”,你會告訴我,你認為你不能阻止人們點擊鏈接,只是不能讓員工帶來自己的U盤感染網站,而這些問題是根據員工自己的經驗來應對的。然后我問你,你是怎么做的,你告訴我,“買防火墻?”,那么你其實是一位在許多方面比較無知的首席執行官。組織的最大風險是其員工的行為。
網絡安全和隱私遵守:微妙的平衡
記者:移動數據威脅的狀態是什么?移動數據也是一個大問題,因為已經發生,那么企業有足夠的時間來調整他們?此外,最近幾年移動數據隨著互聯網的發展,其所受到威脅是如何發展的?
哈尼什:我們在移動設備上沒有看到很多具體攻擊或漏洞,即iOS和Android。但這些攻擊發生越來越多,頻率正在增加,復雜程度也日益提高,但我認為真正的故事在于其潛力和機會。專家估計,目前全球有50億到和100億個設備連接到互聯網,2020年將會達到500億。這相當于地球上每個人擁有7個移動設備,其中包括嬰兒和老人。現在想象一下,這些設備中的每一個都有我們的個人數據:例如,我們的身份證號碼,甚至信用卡號碼,也許還有醫療記錄,也許這些都已經連接到其他所有的設備,而這些設備中的每一個都是脆弱的。
人們往往忽略的是,iPhone只不過是軟件。如今硬件沒有更好的,或者并不比任何其他硬件差。人們與軟件進行交互,而軟件隨處可見。這些天,從汽車到建筑中供暖和空調系統,這些都是由電腦控制。連接到互聯網的便利是強大的,這是因為人們在互聯網和物聯網急于連接設備,而人們往往忽視了網絡安全風險。如果人們將其冰箱聯網,會有什么與問題?我們并沒有要求解決這些問題,直到這些成為問題。物聯網并不改變整體的威脅環境,但它增加了網絡犯罪的機會。
記者:企業能否利用從合規性審計結果收集的信息來支撐企業的網絡安全流程?為什么可以或者為什么不行?
哈尼什:如今,唯一比黑客更可怕的信息審核員。企業需要認識到,網絡安全風險來自不同的地方,他們必須了解符合相關的風險。如果在醫院,面對CMS或OCR,由于你沒有很好地保護健康方面信息,如果一些網絡犯罪團伙訪問病人的電子病歷,這可能一個代價非常昂貴的問題。管理風險的過程已經成為組織的一個基本需求,因為存在著這么多的威脅和漏洞,我們不能解決所有的問題。
如果我在這家醫院負責安全,在網絡安全方面我有很多事要做,但問題是我應該做什么,什么樣的順序,以及我應該做多少。我們只是不提這些問題。如果我們真的不理解這個問題,我們傾向于把這歸于技術來解決,例如采用防病毒,防火墻,入侵檢測系統等技術措施和手段。這些技術工作都比較出色,但并沒有解決所有的網絡安全問題。我認為,75%的網絡安全風險是非技術相關因素所造成的。
記者:什么樣類型的員工教育和培訓技術有利于保護企業網絡安全?
哈尼什:我們知道什么是行不通的:沒有受過培訓和教育的員工不是好員工。然而我們知道,強迫員工去通過蹩腳的訓練也是不好的。控制人們的行為是不容易的,特別是沒有圍繞網絡安全的文化。例如這些制造商、保險公司,或銀行等,這些組織已經存在了很長一段時間,他們從來沒有想過網絡安全。如果希望招聘員工,認為進行培訓之后,其員工的工作將是完美的,這是不現實的。
如果你了解人腦,并知道大腦是如何工作的,我們如何學習和吸收信息,為什么我們保留這些信息,你可以結合你的教育,再加上測試,以確保教育和培訓工作,并定期重復才能記牢,這是我們要求企業思考在網絡安全方面人員問題的原因。如果你不嘗試去解決這個問題,那它就真的是疏忽了。數據就在那里,我們知道為什么組織開始有了違規行為:由于人員失誤或失敗。我們需要花更多的時間進行處理。而改變人們行為的方式,必須是長期進行的,而這不是一朝一夕所能解決的。
京公網安備 11010502049343號