当然希望用户遵守安全诏书,但您是否会掌握自己的员工或分享您公司的黑客历史?至少有一些CIOS说是的。内幕(需要注册)
统计数据令人震惊:去年,赛门铁克总共阻止了超过55亿次恶意软件攻击,比2010年增加了81%,并报告网络攻击增加了35%,恶意软件的新变种增加了41%。
如果这些发现,记录在公司的最新年度互联网安全威胁报告,导致IT领导人想知道他们是否已经做了一切可能保护他们的公司,他们可能会考虑看镜子。
那是因为安全专家们表示:专家们表示:常常忘记第三个和关键步骤,往往忘记了第三个和关键的阶段,以使他们的安全目标沟通,使得广泛的企业人口不仅理解,而且响应。
公司副总裁兼首席信息安全官马尔科姆•哈金斯表示:“合规是必要的,但这还不够英特尔。
哈金斯的目标是让员工不仅遵守规定,而且全面承诺保护公司信息。“如果他们致力于做正确的事情,保护公司,如果他们得到正确的信息,(那么)他们就会做出合理的风险决策。”
要确定,员工不参与各种企业安全漏洞(见十大威胁动作类型), 但用户行为和不合规涉及很多,包括移动恶意软件,社交网络计划和高级目标攻击。赛门铁克的报告称,这些犯罪行为越来越多地针对的不是首席执行官和高级职员,而是从事销售、人力资源、行政和媒体/公共关系等其他工作职能的人,因为犯罪分子试图获取“容易摘到的果实”。
在国际信息系统安全认证财团的基金会主任 - 又称(ISC)的基金会主任说,反对这样一个鼻球,悬挂在押出室中的刻板墙海报是无用的 - 也被称为(ISC) - 全球,非营利组织该教育和证明信息安全专业人员。“安全培训不是一次性事件。它必须整合整个组织,它必须来自顶部,”她说。
皮勒说,如果要以用户愿意倾听的方式谈论安全问题,管理者需要确保员工从第一天起就了解公司的安全状况。他们必须愿意签署保密协议,参加培训和参与持续的意识,所有这些都是为了保持警惕。
对抗大型企业的十大威胁行动(受影响的泄露百分比)
verizon或其国际法医伙伴之一调查了855次确认的组织数据违约:美国秘密服务(USSS),荷兰国家高科技犯罪单位,澳大利亚联邦警察,爱尔兰报告和信息安全服务雷竞技比分警察中央电子犯罪单位伦敦大都会警方。由于事件往往涉及多种威胁事件,总计超过100%。来源:Verizon风险团队:2012年数据泄露调查报告
在其安全信息中最成功的公司已经超越了完美模型的其它方法。Computerworld赶上了三个组织英特尔,皇家飞利浦电子和耐力服务 - 了解他们如何设法使信息安全成为企业责任。
请继续阅读以下五个最佳实践,以便让员工理解安全信息。
把威胁放在背景中
Peeler说,人们不会通过简单地被告知做什么或被吓得遵从来内化安全最佳实践,哈金斯也同意这一点。他表示:“你不希望把信息安全合规描述为恐惧。”“恐惧就像垃圾食品——它可以让你维持一点,但从长远来看,它是不健康的。”
相反,两位专家都说,如果安全管理人员可以将风险投入直接与他们相关的上下文,员工更有可能被激励为合规性。
哈金斯说,大多数员工都知道,安全漏洞不仅会影响数据,还会影响整个公司的品牌和声誉,但一些业务部门可能并不完全明白自己在安全漏洞中可能扮演的角色。
例如,如果竞争对手,他解释说,营销团队可能希望推出新的互动网站提前提前。该网站的内容似乎足够有害,因为它不包括知识产权,只有一些互动屏幕和视频。
但是,如果第三方提供商留下的漏洞,帮助开发网站允许黑客允许黑客在网站上发现的链接中植入恶意软件?Harkins说,解释了提前提前的风险,并以特定于部门的业务行业的业务界线,有助于确保小组会做出减轻损坏的必要条件。
恐惧就像垃圾食品 - 它可以维持你一点,但从长远来看,它不健康。Malcolm Harkins,英特尔
在上下文中,真实的例子也可以使消息更加清晰。当数据泄露成为新闻时,把它作为一种教学工具——通过培训班、电子邮件或视频演示。
讨论组织中发生类似违规的可能性。询问:像这样的违约是如何影响我们公司或特定的业务部门?与类似的攻击相比,人们或业务单位应该保持额外的警惕?您已经有哪些安全措施来防止这种攻击?
在内部去网络钓鱼
一些公司采用的另一种有效的沟通技巧是,发布他们自己的模拟网络钓鱼骗局,看看有多少员工上钩,然后利用这个机会提供建议,以避免下次骗局——当它可能是真的。
皇家飞利浦电子最近推出了一项受控网络钓鱼攻击的试点计划,说尼克曼科维奇表示,首席信息安全官员说。
与一个专业的网络钓鱼合作伙伴合作,Mankovich拒绝了名称,飞利浦模拟了一封电子邮件骗局,它试图让员工点击网站的链接并输入他们的密码和用户名。当毫无疑问的员工点击链接时,弹出一个消息,解释其错误,并提供提示,以避免下次被骗。
“这并不是令人尴尬或侦查任何人。这真的是给予材料,这意味着当时点击[错误]链接时,”Mankovich说。
根据攻击的具体性质,提示可能包括以下问题:邮件来源可靠吗?这个链接有拼写错误或不寻常的地方吗?你是否记得将鼠标悬停在链接上,并检查屏幕底部,看看两者是否匹配?
到目前为止,已经进行了三个涉及250名员工的网络钓鱼实验;最终,Mankovich希望测试全球所有90,000份电子邮件连接飞利浦员工的安全智能。
“在每次飞行员结束时,我们与一些用户交谈,看看他们对体验的感受 - 这两个人都为网络钓鱼和那些没有的人而言,”Mankovich说。“我们[通常]有一个非常小的百分比,他的行为不好,而且那些人确实得到了信息。”
对于更具模拟的攻击,“我们决定永远奔跑。那些个人钩子做得很好” - 尽管未来的网络钓鱼测试将是隐身,越来越复杂。
保护才能启用
面对日益严重的网络威胁,IT领导们在给业务部门选择自己的应用程序、推出自己的在线计划和采用新设备的自由,和踩刹车之间挣扎。
但哈金斯说,在两者之间找到平衡是可能的。英特尔三年前就采用了“保护使能”的口号。哈金斯表示,信息安全集团的任务不再主要集中于锁定资产,而是转向实现业务目标,“同时实施合理水平的保护”。“你对信息流施加的阻力越大,业务速度就越慢,这也会产生战略风险问题,”哈金斯解释道。
为了实现业务目标,同时仍然有效地传达其安全政策,它需要三件事,哈金斯说:对商业方面的情况和需求充足的敏锐程度;技术和业务部门的投入与给定安全决策的风险与奖励;以及在所有层面和业务单位之间清晰的沟通渠道。
您拖累信息流量越多,商业速度越慢,创造了战略风险。Malcolm Harkins,英特尔
英特尔的“Byod”计划是其“保护能够启用”政策的产品。早在2009年,英特尔采取了一种新的方法,支持企业的个人设备。“我挑战了我的团队与英特尔法律和人力资源团体合作,定义安全和使用政策。这使我们能够开始允许访问员工拥有的公司电子邮件和日历智能手机2010年1月,“哈金斯说。
该倡议在允许用户在保持企业数据安全的同时使用户将其移动设备调整到工作场所,并且英特尔继续定义新的安全性并使用策略,因为新设备堵塞。
保险公司耐力专业控股有限公司首席信息官汤姆·特里(Tom Terry)说,在纽约,他们试图建立不限制用户执行工作的政策。“他们要求使用特定的软件、工具或设备,通常都有很好的理由。我们试图了解他们试图解决的问题,并为他们提供工具,以安全的方式满足他们的需求。”
例如,许多业务单位都需要USB设备来传输数据,但IT组织知道,如果管理不当,USB设备可能是造成数据丢失的主要因素。忍耐力的IT团队说“是的,但是……”,他们分发这些设备,同时制定并解释一项政策,以确保它们有密码保护和加密。
“当企业看到你以合作方式与他们合作时,你可以在拨号上向前移动”拨号“,因为对安全的共同的企业响应,说。
从上到下促进安全
安全措施应该在组织的最高层得到授权和支持。特里表示,在Endurance,信息安全是董事会层面的议程项目和战略业务目标。“与以it为中心的职责相比,能够与您的执行团队和高级管理人员一起工作,帮助分享沟通信息,这要容易得多。”
皇家飞利浦在2012年1月创建一个名为信息安全的企业级组织时,皇家飞利浦的需要在创建一个名为信息安全的企业级组织,并将其第一个首席信息安全官员命名为2012年1月。小组“专注于一个简单的音乐,这是对的充分保护Mankovich说,影响飞利浦业务的信息。“这可能意味着我的笔记本电脑,我的笔记本,甚至是我脑子里的信息。这是每个人的责任。”
分享你公司的黑客历史
虽然有争议的,分享 - 自信地,当然 - 企图对自己公司的系统或业务部门内的事件的企图的数量和性质可以成为安全合规性的强大动机,佩尔说。“人们真的不了解公司自己的系统遭受攻击的频率,”她指出。
哈金斯表示同意。他说:“(安全领导者)必须显示逻辑、显示数据,并将其与业务目标联系起来,如果不加以处理,将对实现这些目标产生何种影响。”“你的预测越开始成为现实,你就越能证明你知道自己在做什么,你不是在试图阻碍业务,而是在试图帮助业务。”
人们真的不明白公司自己的系统受到攻击的频率。朱莉帕埃尔,(ISC)
英特尔已经找到了方法可以将违规数据放在没有共享太多机密信息的情况下。例如:“我们有一名员工几年前偷走了我们的知识产权,今年早些时候被定罪。我们发布了所有员工,我们发现的故事,我们发现的情况,并提醒我们所拥有的每个人的期望“哈氏涉及他们。
英特尔还张贴了丢失或被盗的笔记本电脑率,并提醒人们如何照顾设备。Harkins说,它还将分享一般调查或事件细节,包括员工的错误,例如向社交场所发布信息,并描述为本公司创造的风险。“但我们不分享那些对员工令人尴尬或产生问题的人或其他细节,”他澄清了。
其他人则有复杂的感受。曼科维奇说,透明度方法“值得考虑”,但他担心,任何共享的信息可能太容易越过围栏,进入外部世界。曼科维奇说:“我的第一反应是,我们在60个国家拥有12.4万名员工,无法避免上市。”“知道了这一点,我们必须考虑向坏人提供攻击情报的负面影响。这本身可能会增加风险。”
安全:无休止的令人兴奋
最终,说服员工保持警惕是IT和业务之间的一项工作。曼科维奇总结道:“我们真的必须了解劳动力是如何变化的,我们是如何改变劳动力的,以及使用我们产品或与我们合作的人的期望是如何变化的。”“这份工作没有尽头,但很令人兴奋。”
Collett是一个Computerworld贡献作家。你可以联系她stcollett@comcast.net。
阅读更多关于安全的信息在Computerworld的安全主题中心。
这个故事,“如何谈论安全,所以人们会听(并遵守!)”最初发表Computerworld. 。