分享程序员开发的那些事...
更新时间:2022-09-13 22:31:54
如今,各种威胁到企业信息化的行业已经司空见惯,而最近几年企业纷纷转向分析数据,以帮助防止信息泄露。分析可以帮助确定哪些企业信息是最脆弱的,并对那些缺乏数据保护知识与经验的员工进行安全流程的培训。
GreyCastle公司安全首席信息官瑞格·哈尼什表示,尽管如此,许多公司仍然在网络安全方面感到困扰,仅仅是因为管理者不利用它的优势。在这个问题环节中,哈尼什讨论了商业领袖通过数据分析信息,知道企业所面临的最大的网络安全是什么?以及可能会忽略哪些有关潜在威胁。
记者:你认为目前企业面临的大型企业网络安全风险是什么?有什么新的或前沿的技术策略可以有效地帮助保护企业的数据?
瑞格·哈尼什:我们理解企业所面临的威胁有着非常普遍的意义,但绝大多数企业***,其中包括主管和经理都不是很愿意接受摆在他们面前的这样的数据。从网络安全的角度来看,我们很难知道发生了什么事情,受到的袭击来自何方,以及袭击者偷走了哪些数据。但是,即使你有这样一个数据,把它在企业决策者面前,而他们自己对此有一些认知偏差和情绪,他们在网络安全决策做得并不是很好
我会在两方面回答你的问题:一、组织的外部威胁变得越来越复杂,而且威胁也会很快的增长。二、在组织内部,如果你是一个组织的首席执行官,那么我问你,“你面临最大的网络安全风险是什么?”,你会告诉我,你认为你不能阻止人们点击链接,只是不能让员工带来自己的U盘感染网站,而这些问题是根据员工自己的经验来应对的。然后我问你,你是怎么做的,你告诉我,“买防火墙?”,那么你其实是一位在许多方面比较无知的首席执行官。组织的最大风险是其员工的行为。
网络安全和隐私遵守:微妙的平衡
记者:移动数据威胁的状态是什么?移动数据也是一个大问题,因为已经发生,那么企业有足够的时间来调整他们?此外,最近几年移动数据随着互联网的发展,其所受到威胁是如何发展的?
哈尼什:我们在移动设备上没有看到很多具体攻击或漏洞,即iOS和Android。但这些攻击发生越来越多,频率正在增加,复杂程度也日益提高,但我认为真正的故事在于其潜力和机会。专家估计,目前全球有50亿到和100亿个设备连接到互联网,2020年将会达到500亿。这相当于地球上每个人拥有7个移动设备,其中包括婴儿和老人。现在想象一下,这些设备中的每一个都有我们的个人数据:例如,我们的身份证号码,甚至信用卡号码,也许还有医疗记录,也许这些都已经连接到其他所有的设备,而这些设备中的每一个都是脆弱的。
人们往往忽略的是,iPhone只不过是软件。如今硬件没有更好的,或者并不比任何其他硬件差。人们与软件进行交互,而软件随处可见。这些天,从汽车到建筑***暖和空调系统,这些都是由电脑控制。连接到互联网的便利是强大的,这是因为人们在互联网和物联网急于连接设备,而人们往往忽视了网络安全风险。如果人们将其冰箱联网,会有什么与问题?我们并没有要求解决这些问题,直到这些成为问题。物联网并不改变整体的威胁环境,但它增加了网络犯罪的机会。
记者:企业能否利用从合规性审计结果收集的信息来支撑企业的网络安全流程?为什么可以或者为什么不行?
哈尼什:如今,唯一比黑客更可怕的信息审核员。企业需要认识到,网络安全风险来自不同的地方,他们必须了解符合相关的风险。如果在医院,面对CMS或OCR,由于你没有很好地保护健康方面信息,如果一些网络犯罪团伙访问病人的电子病历,这可能一个代价非常昂贵的问题。管理风险的过程已经成为组织的一个基本需求,因为存在着这么多的威胁和漏洞,我们不能解决所有的问题。
如果我在这家医院负责安全,在网络安全方面我有很多事要做,但问题是我应该做什么,什么样的顺序,以及我应该做多少。我们只是不提这些问题。如果我们真的不理解这个问题,我们倾向于把这归于技术来解决,例如采用防病毒,防火墙,入侵检测系统等技术措施和手段。这些技术工作都比较出色,但并没有解决所有的网络安全问题。我认为,75%的网络安全风险是非技术相关因素所造成的。
记者:什么样类型的员工教育和培训技术有利于保护企业网络安全?
哈尼什:我们知道什么是行不通的:没有受过培训和教育的员工不是好员工。然而我们知道,强迫员工去通过蹩脚的训练也是不好的。控制人们的行为是不容易的,特别是没有围绕网络安全的文化。例如这些制造商、保险公司,或银行等,这些组织已经存在了很长一段时间,他们从来没有想过网络安全。如果希望招聘员工,认为进行培训之后,其员工的工作将是完美的,这是不现实的。
如果你了解人脑,并知道大脑是如何工作的,我们如何学习和吸收信息,为什么我们保留这些信息,你可以结合你的教育,再加上测试,以确保教育和培训工作,并定期重复才能记牢,这是我们要求企业思考在网络安全方面人员问题的原因。如果你不尝试去解决这个问题,那它就真的是疏忽了。数据就在那里,我们知道为什么组织开始有了违规行为:由于人员失误或失败。我们需要花更多的时间进行处理。而改变人们行为的方式,必须是长期进行的,而这不是一朝一夕所能解决的。
本文转自d1net(转载)