內部員工的惡意攻擊通常是內部威脅保護工作的重點,但疏忽和意外事件作為資料安全威脅,卻往往被忽視。
技術進步和不斷變化的工作環境,迫使企業將信任交到那些處理敏感公司資訊的員工手中。商業資訊的內部威脅是乙個重大問題,企業安全政策嚴重依賴員工密切遵守管理條例,以確保資料受保護。
information security forum (isf)的總經理steve durbin認為,內部威脅不僅限於惡意員工尋求經濟利益。最近的isf研究發現疏忽和意外事故也會危及內部威脅保護,越來越多成為資料安全事故。在本期問與答中,durbin討論isf的研究發現,和實施內部威脅保護的最佳方案。
isf的研究發現了哪些與內部威脅相關的結果?最近幾年,這些型別的威脅是如何發展的?
steve durbin:內部員工的惡意攻擊,主要出於經濟利益或意識形態原因,目的是偷竊資訊,或破壞企業。但是還有其他兩種型別,內部員工的疏忽和意外事件。疏忽是指知曉企業資料安全政策的員工:假設我們有乙個規定,防止員工向企業外的人員甚至企業內的人員,傳送大型檔案,比如使用dropbox。但是這個員工發現,他想要傳送物件的電子郵箱有檔案大小限制,於是,他們會說,這一次就破例,把檔案放在dropbox,這樣對方就可以訪問了。
這就是疏忽,知道有乙個資料安全政策,但是採取措施避開它,出發點通常是好的。還有意外事件,不管出於什麼原因,員工犯了乙個錯誤,傳送了錯誤的資訊給不應該收到它的人。他們沒有特意避開資料安全政策,沒有故意去這樣做,只是犯了乙個錯誤。意外事件往往是安全部門最難解決的型別。和我們的成員交談,問他們企業內的意外事件,他們認為大約30 - 40%的安全事故是由一些個人的意外行為造成的。
這更強調了需要溝通,意識,培訓,那些安全部門正在努力的所有事情,並且在過去的一年內花費了大量資金,但仍然沒有取得重大成效。
企業能做些什麼來保護他們的業務資料,避免這些型別的內部威脅呢?
durbin:企業必須經過一系列的階段。首先是評估被處理資訊的價值,使他們對於資訊的重要性有清晰的認識。他們必須聯合業務部門一起做,這不是安全部門單獨能做的。一旦完成了評估,你可以進行技術和管理控制。然後我們進入第三階段,也就是評估訪問資訊的個人,和他們為什麼需要訪問這些資訊。
以上這些並不能完全解決意外事件。第四階段,要建立信任。讓員工明白他們在訪問和保護資訊完整性上,所扮演的職責。這取決於不同的部門,不同的職能,但是要從員工角度清晰表明職責,以及從雇主角度清晰表明職責。
我之前所說的那些階段,評估資訊,控制到位,決定誰能夠訪問資訊,都是確保你能夠建立和員工之間信任的基礎。我們不可能防止所有的意外事件,但是通過提高整體意識,明確不同的職責,你可以期望降低概率,員工在行動前,停下來思考,而不是直接採取行動。
對於內部威脅保護,什麼型別的培訓被證明最有效,特別是針對那些不知道自己犯錯的員工所造成的意外事件?
durbin:有效的培訓,包括進行這一方面的模擬,強調一些事件,以及它們是如何發生的。關鍵是資訊的流動, 我認為這再次強調了要信任員工,並且解釋這些事件,發生的根本原因,以及需要注意的事情。
資訊的流動肯定會有所幫助。同時,更好地與業務部門互動,明確這些是關鍵業務問題,而不僅是安全問題。 我們所談論的一切都不僅是安全問題,這關係到企業如何管理他們的資訊,如何保護資訊的完整性,以及確保資訊在合適的時間出現在合適的地方。很明顯,其中也有困難。你必須有相應的企業資料安全政策,流程和步驟,供員工參考,你必須在企業內各級中執行它們。
多年來,我們一直相信安全應該從企業高層開始。鑑於現在的資料威脅數量,你認為企業是否有足夠的安全意識?
durbin:我們看到一些改變。當然,最近的研究顯示,各類企業內,c級管理層對於安全的意識有所增加。現在,我不認為有任何企業,不以任何形式或方式在網路中運營。如果現實是如此,那麼網路安全必須列入企業最高管理層的議事日程。
當然,還有其他各種各樣的原因,我們處理資訊,特別是敏感資訊的法規和條例的增加,持續聚焦董事會成員的職責。這其中的實際問題:企業必須面對網路對於他們的業務是關鍵因素,這樣乙個事實。也許他們保護資訊的方式,與股東,客戶,**商交流的方式,需要以網路化的方式重新整理,以確保擁有適當級別的安全流程和步驟, 以防止資訊意外損失,或失竊,以防資訊落入錯誤的人手裡。
江蘇通報「寵物盲盒事件」 罰款3萬 有意外發現
5月11日,江蘇蘇州郵政管理局接到舉報,稱在蘇州中通快遞中轉站發現寵物盲盒。經蘇州市郵政管理局初步調查,在現場共發現寄遞活體動物的快件13www.cppcns.com件,動物均已死亡。經蘇州市 徐州市 常州市郵政管理局共同調查,該批快件為無錫中通快遞 於2021年5月5日在常州市攬收,內件為貓 狗等...