根据一项新的研究,与员工相关的安全风险是安全专业人员最关心的问题,但是组织在防止员工疏忽行为方面做得还不够。
上个月,安全研究公司波耐蒙研究所由益百利数据泄露解决方案该公司对601名员工进行了调查,他们所在的公司针对员工的疏忽和恶意行为开展了数据保护和隐私培训通过培训和文化管理内部风险报告。
66%的受访者表示,员工是他们建立安全防范措施中最薄弱的环节,55%的受访者表示,他们的组织曾因恶意或疏忽的员工而遭遇安全事件或数据泄露。
是什么让公民社会组织夜不能寐?
安全专家最关心的疏忽和恶意行为包括:
- 从不安全的网站或移动设备释放恶意软件(70%)
- 侵犯访问权限(60%)
- 在工作场所使用未经批准的移动设备(55%)
- 在工作场所使用未经批准的云或移动应用程序(54%)
- 从不安全的公共网络访问公司应用程序(49%)
- 遭遇钓鱼攻击(47%)
虽然这些公司在员工培训和处理敏感和机密信息方面进行了其他努力,但大多数都没有取得成功。波耐蒙公司发现,60%的受访者认为他们的员工对公司的安全风险不了解或不了解。只有35%的受访者表示,他们的高级管理层认为,让员工了解数据安全风险如何影响他们的组织是首要任务。
益百利数据泄露解决公司的副总裁Michael Bruemmer在上周的一份声明中说:“在当今企业面临的众多安全问题中,该研究强调,一个简单的员工失误或疏忽行为造成的数据泄露风险是导致许多数据泄露的原因。”“不幸的是,公司继续经历着员工成为网络攻击的受害者或无意中暴露信息的后果。为了更好地为员工配备保护公司数据所需的工具,公司应该采取几项措施,包括超越简单的员工教育实践,转变为安全文化。”
报告发现,尽管受访的每家公司都有培训计划,但“其中许多培训计划内容的深度和广度不足以促使员工做出重大行为改变,降低内部风险。”
事实上,只有大约一半的受访者同意或强烈同意他们目前的员工培训减少了不合规行为。
报告称,这些项目在许多领域都存在不足。首先,43%的受访者表示,所有员工的培训只包括一门基础课程。这些课程往往忽略了一些关键的方面:
- 只有49%的受访者说他们的课程包括网络钓鱼和社会工程攻击。
- 只有38%的受访者说他们的课程包括移动设备安全。
- 只有29%的学生说他们的课程包括云服务的安全使用。
此外,只有45%的受访公司强制所有员工接受培训。即使是那些强制要求培训的公司也会有例外——例如,29%的受访者表示,首席执行官和c级主管(通常能接触到高价值、敏感信息的员工)没有被要求参加培训。
为了提高人们的安全意识,益百利和波耐蒙说,企业需要培养一种安全文化。建议包括以下内容:
- Gamify培训。游戏化训练,让学习潜在的安全和隐私威胁变得有趣。说明员工面临的威胁的交互式游戏可以使教育体验变得愉快,内容也更容易保留。例如,模拟真正的网络钓鱼邮件并提供简单方法来报告潜在的欺诈信息的新技术正在获得关注。
- 采取软硬兼施的方式来降低内部风险。鼓励员工报告安全问题并保护财务信息。建立并传达由疏忽或粗心行为引起的数据泄露或安全事件的后果。高层的语气至关重要——高管应以身作则,参与数据保护和私隐培训(DPPT)项目,并强调降低数据泄露或保安事故风险的重要性。
这篇文章,“安全培训项目对降低内部风险做的不够”最初是由首席信息官 。