內(nèi)部員工的惡意攻擊通常是內(nèi)部威脅保護(hù)工作的重點(diǎn),但疏忽和意外事件作為數(shù)據(jù)安全威脅,卻往往被忽視。
技術(shù)進(jìn)步和不斷變化的工作環(huán)境,迫使企業(yè)將信任交到那些處理敏感公司信息的員工手中。商業(yè)信息的內(nèi)部威脅是一個重大問題,企業(yè)安全政策嚴(yán)重依賴員工密切遵守管理?xiàng)l例,以確保數(shù)據(jù)受保護(hù)。
Information Security Forum (ISF)的總經(jīng)理Steve Durbin認(rèn)為,內(nèi)部威脅不僅限于惡意員工尋求經(jīng)濟(jì)利益。最近的ISF研究發(fā)現(xiàn)疏忽和意外事故也會危及內(nèi)部威脅保護(hù),越來越多成為數(shù)據(jù)安全事故。在本期問與答中,Durbin討論ISF的研究發(fā)現(xiàn),和實(shí)施內(nèi)部威脅保護(hù)的最佳方案。
ISF的研究發(fā)現(xiàn)了哪些與內(nèi)部威脅相關(guān)的結(jié)果?最近幾年,這些類型的威脅是如何發(fā)展的?
Steve Durbin:內(nèi)部員工的惡意攻擊,主要出于經(jīng)濟(jì)利益或意識形態(tài)原因,目的是偷竊信息,或破壞企業(yè)。但是還有其他兩種類型,內(nèi)部員工的疏忽和意外事件。疏忽是指知曉企業(yè)數(shù)據(jù)安全政策的員工:假設(shè)我們有一個規(guī)定,防止員工向企業(yè)外的人員甚至企業(yè)內(nèi)的人員,發(fā)送大型文件,比如使用Dropbox。但是這個員工發(fā)現(xiàn),他想要發(fā)送對象的電子郵箱有文件大小限制,于是,他們會說,這一次就破例,把文件放在Dropbox,這樣對方就可以訪問了。
這就是疏忽,知道有一個數(shù)據(jù)安全政策,但是采取措施避開它,出發(fā)點(diǎn)通常是好的。還有意外事件,不管出于什么原因,員工犯了一個錯誤,發(fā)送了錯誤的信息給不應(yīng)該收到它的人。他們沒有特意避開數(shù)據(jù)安全政策,沒有故意去這樣做,只是犯了一個錯誤。意外事件往往是安全部門最難解決的類型。和我們的成員交談,問他們企業(yè)內(nèi)的意外事件,他們認(rèn)為大約30 - 40%的安全事故是由一些個人的意外行為造成的。
這更強(qiáng)調(diào)了需要溝通,意識,培訓(xùn),那些安全部門正在努力的所有事情,并且在過去的一年內(nèi)花費(fèi)了大量資金,但仍然沒有取得重大成效。
企業(yè)能做些什么來保護(hù)他們的業(yè)務(wù)數(shù)據(jù),避免這些類型的內(nèi)部威脅呢?
Durbin:企業(yè)必須經(jīng)過一系列的階段。首先是評估被處理信息的價(jià)值,使他們對于信息的重要性有清晰的認(rèn)識。他們必須聯(lián)合業(yè)務(wù)部門一起做,這不是安全部門單獨(dú)能做的。一旦完成了評估,你可以進(jìn)行技術(shù)和管理控制。然后我們進(jìn)入第三階段,也就是評估訪問信息的個人,和他們?yōu)槭裁葱枰L問這些信息。
以上這些并不能完全解決意外事件。第四階段,要建立信任。讓員工明白他們在訪問和保護(hù)信息完整性上,所扮演的職責(zé)。這取決于不同的部門,不同的職能,但是要從員工角度清晰表明職責(zé),以及從雇主角度清晰表明職責(zé)。
我之前所說的那些階段,評估信息,控制到位,決定誰能夠訪問信息,都是確保你能夠建立和員工之間信任的基礎(chǔ)。我們不可能防止所有的意外事件,但是通過提高整體意識,明確不同的職責(zé),你可以期望降低概率,員工在行動前,停下來思考,而不是直接采取行動。
對于內(nèi)部威脅保護(hù),什么類型的培訓(xùn)被證明最有效,特別是針對那些不知道自己犯錯的員工所造成的意外事件?
Durbin:有效的培訓(xùn),包括進(jìn)行這一方面的模擬,強(qiáng)調(diào)一些事件,以及它們是如何發(fā)生的。關(guān)鍵是信息的流動, 我認(rèn)為這再次強(qiáng)調(diào)了要信任員工,并且解釋這些事件,發(fā)生的根本原因,以及需要注意的事情。
信息的流動肯定會有所幫助。同時(shí),更好地與業(yè)務(wù)部門互動,明確這些是關(guān)鍵業(yè)務(wù)問題,而不僅是安全問題。 我們所談?wù)摰囊磺卸疾粌H是安全問題,這關(guān)系到企業(yè)如何管理他們的信息,如何保護(hù)信息的完整性,以及確保信息在合適的時(shí)間出現(xiàn)在合適的地方。很明顯,其中也有困難。你必須有相應(yīng)的企業(yè)數(shù)據(jù)安全政策,流程和步驟,供員工參考,你必須在企業(yè)內(nèi)各級中執(zhí)行它們。
多年來,我們一直相信安全應(yīng)該從企業(yè)高層開始。鑒于現(xiàn)在的數(shù)據(jù)威脅數(shù)量,你認(rèn)為企業(yè)是否有足夠的安全意識?
Durbin:我們看到一些改變。當(dāng)然,最近的研究顯示,各類企業(yè)內(nèi),C級管理層對于安全的意識有所增加。現(xiàn)在,我不認(rèn)為有任何企業(yè),不以任何形式或方式在網(wǎng)絡(luò)中運(yùn)營。如果現(xiàn)實(shí)是如此,那么網(wǎng)絡(luò)安全必須列入企業(yè)最高管理層的議事日程。
當(dāng)然,還有其他各種各樣的原因,我們處理信息,特別是敏感信息的法規(guī)和條例的增加,持續(xù)聚焦董事會成員的職責(zé)。這其中的實(shí)際問題:企業(yè)必須面對網(wǎng)絡(luò)對于他們的業(yè)務(wù)是關(guān)鍵因素,這樣一個事實(shí)。也許他們保護(hù)信息的方式,與股東,客戶,供應(yīng)商交流的方式,需要以網(wǎng)絡(luò)化的方式刷新,以確保擁有適當(dāng)級別的安全流程和步驟, 以防止信息意外損失,或失竊,以防信息落入錯誤的人手里。
京公網(wǎng)安備 11010502049343號