在網(wǎng)絡(luò)安全中,人是最薄弱的環(huán)節(jié)。很多企業(yè)最大的安全漏洞是在管理和文化方面,因為這些是人類交流的產(chǎn)物,而非技術(shù)的產(chǎn)物。
根據(jù)普華永道2016年《全球信息安全調(diào)查》顯示,僅有53%受訪者表示他們?yōu)閱T工開展過安全意識教育活動。
我們建議企業(yè)繼續(xù)改進安全策略,為不斷增長的網(wǎng)絡(luò)安全風險做好準備。安全策略應(yīng)包括實施強有力的循環(huán)控制,以識別新的內(nèi)部風險并提高安全控制。
將網(wǎng)絡(luò)安全融入到物聯(lián)網(wǎng)這樣的新技術(shù)規(guī)劃當中同樣重要。除了調(diào)整重點區(qū)域的安全策略之外,還要評估最新的網(wǎng)絡(luò)法律法規(guī)中可能存在的差距。
但僅有技術(shù)安全控制措施并不足以提高網(wǎng)絡(luò)安全。聰明的企業(yè)一直懂得,在安全方程式中,人的因素是至關(guān)重要的。
很多企業(yè)正在擴充主要高管和董事會的職能,以加強網(wǎng)絡(luò)風險的溝通,并幫助建立更加精細、更有彈性的網(wǎng)絡(luò)安全功能。他們也正在給高管和員工開展網(wǎng)絡(luò)安全意識的教育活動,內(nèi)容涉及網(wǎng)絡(luò)安全的基礎(chǔ)知識和人性弱點,如魚叉式網(wǎng)絡(luò)釣魚這種成功的攻擊技術(shù)。
對于黑客而言,利用社交工程技術(shù)獲取機密信息,通過操縱某企業(yè)中的合法員工透露敏感信息,或者讓他們做一些違反公司政策的事,這種現(xiàn)象并不少見。
因此,樹立企業(yè)內(nèi)部的安全意識,維持高水平的安全警戒,以降低安全風險是至關(guān)重要的。
沒有什么比高管設(shè)定網(wǎng)絡(luò)安全十分重要這個基調(diào),并且個人(包括高層和中層管理人員)都將為自己的行為負責,更具影響力了。企業(yè)高管必須提升信息安全的性能和限制。如果連公司高管不相信,其他人又為何要遵循呢?
盡管設(shè)定基調(diào)并不會擊退單一的企業(yè)外部或內(nèi)部的攻擊,但有了企業(yè)高管的支持,安全控制措施能夠更有效地保護企業(yè)。
有了這一支持,企業(yè)中所有必須完成的活動便都有了目標,有了方向,更增強了企業(yè)的力量。缺乏高管的支持定會招致?lián)p失,甚至是更大的風險。
對于一個企業(yè)而言,提高安全意識的關(guān)鍵是與企業(yè)所有人員溝通存在的威脅和可用的對策。各級管理人員,特別是中層管理人員的判斷,對企業(yè)網(wǎng)絡(luò)安全來說非常重要。
關(guān)于作者: 薩繆爾·辛恩(Samuel Sinn) 是普華永道中國網(wǎng)絡(luò)安全服務(wù)合伙人。
(譯者:張蕓)