太多的企业高管制定法令,合同的安全意识服务,然后忽略自己的建议。他们希望其他人去做肮脏的工作。显然这是一个不可接受的安全管理办法,并证明我们多么安全世界取决于平均用户帮助保护网络。
最近我得到了一个惊慌失措的电话从亨利,加州的安全管理员医院多年来我所做的业务。看来医院遭到严重的打击MyDoom病毒其爆炸性增长开始在1月的最后一周。试图使亨利平静下来后,我问MyDoom如何发布在医院,拥有大约2000桌面,1000远程机器,和通常的各式各样的Windows和Linux服务器。
“这是真正的坏的部分,”他哼了一声。“我们的高管做了。”
“你的高管吗?你是什么意思了吗?”
“他们点击。”
“不!”I was flabbergasted. "They clicked on an attachment that says, 'Virus detected, do not open'?"
“是的。”
“但是你的企业安全策略我们花了这么多时间,这显然状态,“不要点击未知的附件”?”
“他们忽略了它,”他叹了口气。“五个。”
五个高管在他医院点击MyDoom,把电子邮件系统戛然而止。我想到这第二个假设,”你知道,亨利,如果你或你的一些桌面用户做了同样的事情,你都会悬挂晾干,至少根据您公司的政策。我想,我们的安全意识程序不是以及我们想干什么?”
“不,恰恰相反,事实上!”Henry sounded more upbeat now. "Over a hundred from our general user community called the help desk and asked what to do. The staff did their part; the execs failed us."
我听到类似的故事从其他几个大型组织和坦率地吓了一跳。企业高管的需求完美的管理员希望100%可用性在他们公司所有的服务,希望每个人都遵守安全政策——这些人的根源问题。
当我听说2月2日中国成千上万的电脑感染了MyDoom报道,我可以理解。中国有一个低水平的安全意识和普遍缺乏有效的杀毒软件7800万网民;因此,它特别容易受到蠕虫病毒的攻击。但在美国,主管授权的支出每年数万美元和管理有效的反病毒防御和教育他们的在线用户,我很抱歉,没有MyDoom牺牲品的借口。
太多的企业高管制定法令,合同的安全意识服务,然后忽略自己的建议。他们希望其他人去做肮脏的工作。
显然这是一个不可接受的安全管理办法,并证明我们多么安全世界取决于平均用户帮助保护网络。我就不能买这个论点“我不知道”作为有效的借口自己行为不端网络和点击受感染的依恋,即使它来自你的最亲密的朋友。
这是坏人是如何进入我们的:通过社会工程。他们掠夺我们信任我们的朋友,我们愿意信任他们寄给我们的邮件。
我在纽约长大,能闻到一个骗局艺术家一千码远。这就是我们试图让人们明白通过安全意识:这不仅是关于技术。这是常识,警觉性和理性的偏执。
所以听着教育者,运动鞋,网络安全人员和人力资源专业人员:你的高管也不能幸免。他们也必须学习,理解和遵循安全政策;参与意识培训;和举行他们持有员工相同的标准。高级管理层已经意识到他们是解决方案的一部分或问题的一部分。由我们来确保消息到达办公桌,。
Schwartau Interpact总统,咨询公司安全意识和几本书的作者,包括最近的珍珠港。Com。他可以达成的winn@interpactinc.com。