Redian新闻
>
最大的网络安全风险,其实来自组织内部

最大的网络安全风险,其实来自组织内部

科技



随着数字世界的不断发展,网络威胁和网络攻击的数量、种类和速度也在不断增长。世界上充斥着数据,总有人试图将其变成自己的虚拟货币。


今天,恶意软件和勒索软件的攻击无所不在,从我们的个人手机到关键任务的基础设施和供应链。无论是网络钓鱼、短信钓鱼还是电话钓鱼,攻击者也变得越来越狡猾,利用我们个人生活和工作生活的细节来诱使我们分享我们的数据。


然而,在一个人人都是目标的世界里,企业也需要了解自己面临的来自组织内部的风险。今天,超过3亿人在远程工作——无论他们走到哪里,都在创建、访问、分享和存储数据——而因内部威胁和简单事故引起的数据泄露每年平均会给企业造成750万美元的损失。看看2022年的Cash App数据泄露事件吧,一名前员工在被解雇后访问了客户财务报告。此次泄露可能影响到了820万现有及过去的客户。


最终,泄露是有意为之还是意外事件无关紧要。内部风险计划应该成为每家公司安全战略的一部分。要获得成功,企业在领导员工时应该把他们当作工作伙伴,并用先进的工具来补充他们的计划。无论内部风险出现在何处,这些工具都可以发现并减轻风险。


以下是我担任微软首席信息安全官(CISO)所吸取的四条经验。我负责管理我们的内部风险计划,它正从一个小规模的内部计划发展成为一个向CEO汇报工作的业务部门。



1、优先考虑员工的信任和隐私

这一点摆在首位是有原因的。在商界和生活中,信任是任何正常关系的关键。最好的内部风险计划强调在员工隐私和公司安全之间取得平衡。至关重要的是,要制定隐私控制措施和政策,以维持甚至提高信任度。


设置工具、不分青红皂白地筛查员工活动中的错误行为,这样做不仅无效,而且适得其反——这是完全错误的做法。这是在侵犯隐私,会造成焦虑并损害关系。企业需要能够发现内部风险,但他们需要以正确的方式来做这件事,在一个狭窄定义的范围内采取透明行动,以显示对员工的尊重,并给予他们信任。


设置隐私控制措施来保护工作中的身份——甚至在调查期间——让员工知道你也在保护他们。针对内部风险管理工具,使用基于角色的访问,这也有助于确保由合适的人来检视合规性提醒,防止无端的猜疑潜入企业。



2、跨职能部门合作


虽然IT和安全团队会带头引路,但内部风险是一个涉及整个公司的经营问题。在微软,我们是在时间流逝的过程中认识到这一点的。最初只是我们安全部门的一项计划演变成了企业各团队的统一努力,包括法务、人力资源部门和高级领导层在内。


这种广泛的参与有助于确保更广泛的认同,并提供额外的视点和资源,比如法务部门优先考虑新出的法规,人力资源部门促进培训计划和调查。内部风险委员会或督察员可以帮助开展对话。他们的首要任务之一应该是创建一个应对方案,列举出如何分享信息、每个团队何时做出贡献及贡献什么、谁做出哪些决定、谁来负责。


同样重要的是,要有共同的目标和明确的成功衡量标准。你可以通过量化关键指标(比如提出的案件数量、正确判断和误判标记、以及根据调查结果采取的行动)来对这一过程进行微调。如果你有大量的误判标记,你就有可能让你的人力资源团队和法务团队承受不必要的、破费钱财的调查。



3、认识到员工是第一道防线,也是最后一道防线


让员工参与数据保护和合规培训可能具有难度,但重要的是,他们要知道如何降低安全风险以及为何这是头等大事。强调数据管理的培训表明,就在员工为企业服务之时,企业也在向员工传达信任。


要培训员工如何正确处理企业的数据,并定期重复这一信息,使其始终保持新鲜。这也有助于处理个人事务。大多数人立即明白并致力于如何保护他们自己的财务数据和医疗数据。在培训中注入个人方面的内容,这会将数据保护对企业的重要性联系起来。


按照“看到什么,说什么”的原则以无风险的方式对员工进行培训是内部计划的一项重要能力。通过改进数据安全教育和培训,公司可以让员工有能力成为第一道和最后一道防线,并以检测工具作为补充。



4、使用机器学习工具实现少投入多产出

高德纳公司(Gartner)将内部风险管理定义为“衡量、检测和遏制企业内受信任账户不良行为的工具和能力”。近年来,内部风险管理工具已变得更加准确有效。


旧一些的工具通常忽略了一些细微的指标,而这些指标可以识别出试图隐匿行踪的危险分子。它们通常还进行过于严格的控制,降低了生产力并鼓励绕路。今天,一种新的内部风险管理工具正崭露头角,它具有自适应的安全能力,可以检测到风险活动并减轻任何潜在的影响,同时不妨碍工作并保持用户信息的私密性。


虽然打印机密文件这样的活动可能不会显示意图,但重命名文件,然后在打印后删除它等一连串相联系的活动可能表明有更严重的问题。如果使用机器学习,这些工具可以从噪音中分离出信号,并识别出微妙的行动,减少可能让企业陷入困境的误判。


管理内部和外部风险对任何企业的安全都至关重要。每种风险都有各自的挑战,但令内部风险管理特别棘手的是需要对人员、流程和技术进行平衡。


强大的工具可以帮助阻止、检测和应对内部风险——但它们不会解决根本原因。这就是详细的入职培训、安全培训、团队建设活动和工作-生活平衡计划的用武之地。打造一个健康的工作环境有助于减少员工故意从事危险行为的风险。不过,最终,在人员和技术之间取得平衡最为重要。风险管理必须积极主动并持续不断,而且它需要信任、透明和协作才能保持这台引擎的运行。这一理念——以人为本,辅以强大的技术——是防患于未然的唯一途径,如果事情真的发生了,这也是侦测问题并快速有效应对的唯一途径。

布雷特·阿瑟诺(Bret Arsenault)| 文  

布雷特·阿瑟诺是微软的首席信息安全官,负责整个企业的数字安全和应变力。

时青靖 | 编辑




推荐阅读






内心敏感,也可以成为工作中的超级力量


《哈佛商业评论》中文版 联系方式

投稿、广告、内容和商务合作

[email protected]

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
“擅自组织民间划龙舟被拘”,网友:这也违法?未央播报 | 网信办等五部门调整网络安全专用产品安全管理有关事项“弹”走网络安全威胁晴雯和黛玉知道了袭人与宝玉的云雨之情后,为何态度却截然不同最新报告称 75% 的网民缺乏安全感,66% 的网民认为网络安全过于复杂【信息安全三分钟】2023.02.22锐捷可编程网络技术:升级算力网络安全监控运维宇宙人(1039期)汪文斌:美国是全球最大的网络窃密者;突发:和德宇航被美财政部列入SDN清单;中国“人造太阳”获重大突破马斯克脑机接口人体试验被拒,FDA称其存在安全风险;每天多走500步,老人心血管疾病风险可降低14%|环球科学要闻章子怡女儿才是“整容式”长大,“丑小鸭”变白天鹅,美得让人认不出164道网络安全工程师面试题(附答案)靠做网络安全工资是同龄人的5倍:赚钱真的不能靠拼命!重磅!影响我国国家安全,停止采购!这个美国芯片巨头产品未通过网络安全审查!哪些A股公司或受影响?关于调整网络安全专用产品安全管理有关事项的公告新华社调查:村民擅自组织民间划龙舟被行拘 ,处罚依据是啥?全文下载 |《网络数据安全风险评估实施指引》公开征求意见锐捷网络出席在墨西哥举行的国际网络安全论坛两村民擅自组织民间划龙舟活动,被拘留重磅 | 关于开展网络安全服务认证工作的实施意见突发!美国一芯片巨头在华销售产品,被启动网络安全审查!股价闪崩上千中国留学生来澳受阻!苦等3年拿不到签证!竟因所学专业有“安全风险”?!汤唯拍《色·戒》的內幕曝光,看完让人唏嘘不已完成数千万元级别A+轮融资,「云科安信」希望以动态、多维的视角帮客户度量安全风险丨早起看早期传统 IT 与关键基础设施网络安全风险评估对比外交部发言人:美国维护网络安全是假,维护网络霸权才是真澳洲网络安全问题加剧!赌场巨头皇冠遭受黑客勒索,Latitude金融公司数据仍在持续泄露锐捷网络为2023首届大湾区信息网络安全大会保驾护航任正非组织内部学习这部电影,却只让看上集…射气球是独裁专制黑箱操作精品重大强制国标将出台!头部企业抢跑汽车网络安全风口附下载!信安标委《网络数据安全风险评估实施指引》发布!发人深省的“乌鸦定律”:人最大的克星,其实是自己网信办等部门《关于调整网络安全专用产品安全管理有关事项的公告》妇产科男医生面对女性隐私部位,会不会感到尴尬呢?医生说出实情马斯克脑机接口人体试验申请被美国FDA拒绝,原因为安全风险大,须先解决数十个问题任正非组织内部学习《莫斯科保卫战》,却只让看上集……
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。