如果組織在工作安全方面限制過多的話,工作人員通常選擇便利性而不是安全性。但是組織可以採取一些步驟將安全平衡扭轉回來。
作為一名網路安全專家,oxford solutions 公司總經理richard white對於鎖定敏感資料以免被人誤用表示支援。另一方面,他表示,有些公司在安全方面也有過度限制的情況。
企業在安全方面如果過度限制,那麼容易將其工作人員拒之門外,這可能會弄巧成拙,很難讓工作人員有效的工作。因此他們需要找到更好的解決方法。這是乙個降低生產力的場景,具有諷刺意味的是,資料本身處於危險之中。
white表示,他在辦公室中就看到這樣的一件事:一名工作人員在其電腦螢幕上拍攝了一張受保護資訊的**,這樣他就可以利用這張完成一項工作。「如果安全措施過於複雜,工作人員要做的第一件事是尋找解決方法,而這樣組織所設定的安全措施將完全失敗。網路安全專家需要根據實際的安全風險真正了解自己的政策、程式、技術,這是非常必要的。」white說:「這必須是理性的安全措施和使用者想要完成工作的合理組合。」
white和其他專家表示,網路安全團隊不需要改變他們的操作來實現安全措施和可用性的更好平衡。相反,他們可以首先解決常見的幾個領域問題,即工作人員通常會犧牲安全懷來提高生產率。
(1)複雜的密碼要求
制定密碼是安全的關鍵措施,但安全專家表示,組織已經制定了如此複雜的密碼策略,以至於工作人員試圖擺脫這種過度保護的權力,這種行為反而變成了漏洞。這些安全策略和措施通常要求工作人員使用過長的密碼,而且需要的特性太多(例如,大寫和小寫字母,數字和符號,以及最少數量的字元)。這些安全策略也經常要求工作人員至少每隔幾個月更換一次密碼。
其結果是,有些工作人員將密碼記錄下來,或者甚至更糟的是,將密碼儲存在計算機檔案中。white說,他曾與一家遭受黑客攻擊的公司合作,在審查中發現一名行政級別的工作人員將其密碼儲存在乙個電子檔案中。雖然目前還不清楚這個儲存的密碼在發生的這次攻擊事件中扮演了什麼角色,但white表示這的確是乙個嚴重的問題。
當然,white和其他安全專家說,密碼仍然十分重要。他們建議組織更聰明地使用密碼政策,並將複雜的要求限制在更合理的水平。
(2)共享密碼
總部在德克薩斯州奧斯汀的安全諮詢商spohn公司的高階安全顧問tim crosby在乙個相關的說明中表示,一些工作人員與同事分享他們的密碼。儘管從安全的角度來看這不是乙個聰明的做法,但工作人員這樣做是因為他們需要與同事共享檔案訪問許可權。他說,這種情況發生在組織內部的各個層面,從與助手共享密碼的管理人員到一起工作級別較低的工作人員。
為了抵制這種行為,他說,網路安全團隊應該與業務人員開展合作,以便更準確地識別哪些使用者需要訪問哪些檔案,然後建立如何允許共享訪問的安全策略。
(3)登入過載
組織不僅在對密碼要求的複雜性方面具有問題,而且他們希望員工在登入簽名的次數也有問題。許多任務作人員在一天的工作中需要進行多次登入並通過認證,onelogin公司是一家基於雲計算身份和訪問管理提供商,該公司首席資訊保安官alvaro hoyos表示,許多任務作人員在整個工作日都具有多次登入和身份驗證要求,以致於他們的工作效率下降。
他和其他專家表示,這樣的舉動迫使工作人員設法規避登入要求,例如,將他們需要的資料從安全的應用程式中轉移出來,並將其放在乙個易於訪問的地方,而不必擔心如果離開辦公桌幾分鐘則必須重新登入的問題。調研機構forrester research公司首席分析師,暨isaca(一家專注於it治理的國際專業協會)的董事會主席rob stroud說,安全團隊可以採取多種方案來解決這種情況。
這些解決方案包括使用身份管理和單點登入解決方案、令牌、更高階的使用者和實體行為分析(ueba)功能,區分正常和異常的工作模式,指示需要關閉的潛在威脅,以及快速生物測定,並且需要方便的訪問。hoyos說:「組織必須在安全性和便利性之間找到適當的平衡。」安全專家應該針對「無摩擦的安全性」進行研究。
(4)資料被劫持
保護敏感資料的需求已經成為大多數組織的首要任務,但是網路安全專家認為,許多組織創造了如此多的不必要的保護層,以至於他們降低生產率,並促使工作人員實施了不安全的行為。這種工作人員不遵守安全規定的證據越來越多。white說,像工作人員拍攝他所需要的資訊的例子屢見不鮮。其他安全專家則表示,曾經目睹工作人員在不安全的情況複製檔案、傳輸檔案,以及使用未經批准的檔案共享應用程式。
crosby說:「許多管理者並不知道獲取資料是多麼的容易。」他補充說,這樣的解決方案相當於在組織的保護層打穿了乙個漏洞,從而增加了風險。「這不是企業面臨的乙個新困境,它是安全正規化的一部分。每當組織推出更安全的舉措時,這為工作人員帶來不便,他們會想辦法解決問題,特別是如果他們不明白原因的話。」
white說,組織應該認識到,如果他們以相同的敏感度來對待所有的資料,就會給自己己帶來難題。他表示,安全團隊需要花更多的時間在資料分類上工作,以保護真正敏感的資訊,同時消除大多數工作人員採用工作的低敏感資訊的障礙。white說:「這是一項艱苦的工作,但只有一次才能完成。」
(5)繁瑣的工作流程
工作流程是企業業務的安全性和生產力相互衝突的另一方面。印刷管理解決方案商y soft公司的掃瞄部門高階副總裁wouter koelewijn說,他看到工作人員在正常的工作中共享、掃瞄、傳送電子郵件,以及列印檔案。他們或者沒有意識到潛在的安全風險,或者只是為了必須完成工作而不顧安全措施。
koelewijn表示,在以往,企業為了讓工作人員更加安全地工作,錯誤地設計了不容易適應現有日常工作流模式的系統。他說:「但我們從使用者那裡看到的行為是,如果詢問他們太多的安全問題,或者對檔案進行分類,他們想要達到的目標就失去了平衡,所以他們會找到自己的解決方案。」
他表示,企業需要投資技術和系統設計,使工作人員能夠輕鬆遵守規則,更重要的是盡可能實現自動化。例如,系統應該被設計成安全地掃瞄被識別為敏感的檔案,而不會使工作人員忽略。
stroud補充說:「我們必須考慮安全性並不突出的工作流程,組織需要根據風險適當地加入安全措施,因此並沒有乙個適合所有人的解決方案。」
如果你是老闆,你會不會踢了這樣的員工?
有個好朋友zs,是技術總監,昨天問我 有乙個老下屬,跟了我很多年,做事勤勤懇懇,主動性也很好。但隨著公司的發展,他的進步速度,跟不上團隊的步伐了,有點想裁了他。沈老師,我應不應該踢了他?聽了zs的問題,先是一驚,然後我講乙個故事。畫外音 最近講了不少dota的故事。2017年,dota2 dac世界...
激勵你的老闆!激勵你的老闆!
激勵你的老闆!你的老闆近況如何?他情緒反常?那麼,他正需要你的幫助!艾.里斯在 品牌定位 一書中談到乙個人要想成功就必須善於尋找幾匹馬來騎,其中 第二匹要騎的馬是你的老闆 他提出,只有跟對人,才會有美好前途,否則,就應 另擇高枝 這位營銷專家的人生忠告確是真知灼見。不過,本文要談的是營銷人員要成就一...
報告老闆!這個阿里程式設計師每天上班就看別人接吻
我叫吉恆杉,29歲,是一名 吻戲鑑定師 和女朋友剛談戀愛的時候,我說我的工作是訓練計算機識別出吻戲鏡頭。她聽完覺得特別不可思議,誰能給錢讓你幹這個呢?沒錯,這些就是我們幹的!正經的,在優酷我們的崗位叫人工智慧標註員。我每天訓練機器識別 接吻 鏡頭,然後將成百上千幅內容各異的畫面標註成兩類 接吻 和 ...