大多数安全意识缺陷实际上是安全程序的缺陷。
每周我们都读到一些由用户不良操作引发的攻击。在似是而非的层面上,这似乎是另一个愚蠢的用户做了一些他们一再被告知不要做的事情的例子。点击网络钓鱼信息就是一个例子。
然而,当我听到这些故事的时候,我总是问自己,对于组织来说,有什么是可以做得不一样的?为什么把用户放在第一位?意识培训足够好吗?当用户采取行动时,系统会警告用户吗?这些系统能阻止造成的破坏吗?攻击是否有多个阶段,可以警告组织用户可能成为目标?这里有很多问题。
多年来,安全行业一直在问类似的问题,并在减少损失方面取得了令人难以置信的成功。这一过程为许多组织每年节省了数百万美元,在大型组织中,可能每年节省了数亿美元。这是安全专业相对于安全意识专业的一个主要优势。损失要明显得多,也容易计算。毕竟,当一个人在工作事故中受伤或死亡时,有明显的损失与保险索赔、工人赔偿索赔等相关。
优秀的安全专业人员从两个角度来处理安全问题;环境问题和意识。安全意识很像信息安全意识。你提供信息,试图改善行为,或实施奖励制度,以鼓励持续的良好行为。这是其他文章的主题。然而,在这一点上,我要说的是,所有与安全相关的损失的最后10%需要由意识来解决。
这意味着,解决环境问题可以防止90%的安全相关损失。通过物理上重新安排环境和消除可能导致伤害的条件,可以防止事故的发生。其中一些措施包括消除或计算明目张胆的安全隐患。例如,安全护目镜和安全帽可以解释飞行或掉落的碎片。在地板上画线以确定安全的步行/过境区域,避免人们离移动的车辆太近或撞到物体。在工具的存放位置画上工具的轮廓,不仅可以确保工具不会丢失,而且可以确保工具的摆放方式不容易掉下来,避免有人伸手拿时受伤。
很明显,有些工作比其他工作更需要投入,比如那些评估和改进复杂工厂的工作。通常情况下,这项工作涉及筛选潜在的数千份伤害报告,以确定常见的伤害来源,并确定预防伤害的策略。
如果你关心环境问题,剩下的伤害似乎是由于人们没有遵守政策和程序,或者粗心大意。正如您可以假设的那样,这些通常是与许多相关信息相同的原因安全意识失败。
对于安全意识从业者,解决违反政策和粗心/不注意是其他文章的主题。但就目前而言,必须指出的是,意识实践者也应该考虑解决环境问题。
诚然,环境问题传统上是实现技术的安全从业者的责任。也就是说,一个好的意识实践者应该与更多的技术同行一起工作,以推荐对防止用户采取将组织置于风险中的行动有最大影响的对策并对其进行优先级排序。
例如,由于用户丢失笔记本电脑的位置是很常见的,因此笔记本电脑应该具有指定如何返回笔记本电脑的标签。硬盘应该加密。应该预装允许远程定位笔记本电脑的软件。显然,应该有基本的政策来限制从设施中移除笔记本电脑设备。
同样的,关于密码安全在美国,令牌认证将大大降低通过社会工程、容易被猜测或记录的密码被破解的可能性。同样,系统应该防止系统上存在容易猜到的密码。类似地,应该有相应的流程来确保管理人员、安全人员和其他人员验证密码是否已被记录下来并可用于入侵。
电视节目《与孩子结婚》中有一句出自美国伟大哲学家佩吉·邦迪之口的谚语:“如果你给猴子一把枪,而猴子向某人开枪了,你是责怪猴子还是责怪给猴子枪的人?”虽然我无意将用户等同于猴子,但当安全专家看到一个用户犯了错误,在他们给这个人贴上“愚蠢用户”的标签之前,他们应该先看看他们是否已经把枪给了这个用户。
因此,当您创建或改进您的安全意识程序时,您需要考虑如何首先消除允许用户有与意识相关的失败的机会。虽然这看起来不是你的工作,但它会让你的工作变得轻松90%。
请联系Ira Winklerwww.securementem.com。
这个故事,“你创造了愚蠢的用户吗?方案 。