网络安全战略中的关键人为因素
随着可互连数字设备数量的增加,网络安全的复杂性呈指数级增长。由于相互依赖的计算机基础设施支持当今几乎所有组织,因此保护数字数据变得至关重要。
37% 的受访 CEO 表示,重大风险存在于扩展业务和关键企业合作伙伴中。仅靠预防措施是不够的。新环境需要警惕的监控和创造性的创新。它需要所有利益相关者的参与。
人的因素是关键。您对员工的审查、培训和装备程度将决定您的网络安全系统、您在客户和合作伙伴中的声誉,甚至您的业务本身。
虽然 89% 的最高管理层认为员工会负责任地保护信息,但 22% 的人表示他们的员工不知道异地数据政策。风险最大的设备是公司手机 (50%)、公司笔记本电脑 (45%) 和 USB 存储设备 (41%)。
在其关于 2018 年最高管理层意见的报告中 , 在。 Kearney 发现 85% 的公司在去年经历了安全漏洞。只有 40% 的受访者设计并实施了网络安全战略作为回应。
除了关注员工之外,让整个供应链都参与进来也很重要。企业领导者列举了四种确保可行的网络安全的最佳策略:
- 全面的信息安全措施,
- 聘请高技能 IT 专业人员,
- 网络安全行为分析,以及
- 员工培训计划。
网络安全的新范式是参与、说服、教育、转化和奖励。最终用户经常被不公平地刻板印象为不合作、厌恶控制和不愿意改变行为。同时,它们是网络安全中最薄弱的环节。即使是技术娴熟的技术专家也可能像缺乏训练和准备的普通用户一样容易受到攻击。
一个真实的例子:多年前,作为南美一家无线运营商的 CISO,我的任务是减少不断增加的数据泄漏。一位高级管理人员建议严格执行安全策略。他说,最终用户对安全问题不置可否,并且对改善内部控制的活动没有反应。
我决定采取逆势立场。经验让我相信,要制定可行的解决方案,我们必须让所有利益相关者(每个受政策、技术和决策影响的个人)都参与进来,而不仅仅是坐在会议室里的人。
我们没有惩罚最终用户并只专注于执行控制,而是与员工召开了一系列会议,分享最佳实践,确定他们的痛点,并就如何正确使用安全工具提供分步指导。
事实证明,由于一系列合并,许多安全策略已经过时。此外,用户通过在便利贴上写下他们的访问代码来处理繁琐的 30 天密码过期做法。不怀好意的人因此获得了未经授权的访问。
根据员工的反馈,我们更新了政策并重新编写了程序和标准,使其具有相关性和明确性。记分卡用于跟踪进度,并建立了奖励制度。数据泄漏减少了,用户和安全部门之间建立了一个反馈循环,以保持程序的相关性。最终用户被带入流程,通过教育循环来发现潜在问题。
经验再次证实,以利益相关者和以人为中心的设计过程,依靠参与、教育、转化和奖励而不是惩罚,可以产生最全面和可持续的网络安全解决方案。
J。 Eduardo Campos 是 Embedded-Knowledge Inc 咨询公司的负责人。
工业技术