技术是组织目标的驱动力。云计算的迅速采用以及移动设备和应用程序的广泛普及,已将技术从单纯的支持机制转移到了公司日常运营方式以及如何为未来做准备的关键差异化因素。
随着技术重要性的提高,安全性问题也在增加。各种规模的公司始终将安全性视为其所有技术问题中的重中之重。显然,企业似乎了解良好安全实践的重要性。但是他们采取了正确的步骤吗?
公司有充分的理由担心。网络犯罪的威胁是非常真实的,成为网络犯罪受害者的影响可能是灾难性的。
ponemon研究所在其 “网络犯罪的2015成本研究” 中发现,针对政府和商业企业的网络攻击的频率和严重性持续增长。一次网络犯罪的平均成本是770万美元。虽然这个p被大企业倾斜,但小企业的人均成本 (1,388美元) 明显高于大企业的成本 (431美元)。
无论是大型还是小型,公共或私营部门,所有组织都必须采用一种全面的网络安全方法,该方法建立在三个关键要素的基础上: 风险评估,新的安全工具和人为因素。
风险评估。
对于企业而言,评估风险并不是一个新概念,尤其是在具有强大项目管理思维的公司内部。但是,现在是更多组织参与并对其安全实践进行严格分析的时候了。
典型的分析活动包括确定风险的概率、估计潜在影响和确定缓解策略。建筑缓解所涉及的时间和精力与概率和影响直接相关。与低概率/低影响风险相比,高可能/高影响风险需要更强大的缓解措施。
新的网络安全工具可用。
防火墙可能不再是完整的安全解决方案,但它们仍然是安全准备的关键部分。公司可能需要更新防火墙,因为它们的功能已经从过滤流量发展到限制流量。
其他需要考虑的新安全工具包括数据丢失预防 (DLp) 技术,该技术跟踪数据以监视不适当的行为; 身份和访问管理 (IAM) 识别独立应用程序中的用户,并为他们提供适当的访问权限。
人的因素和训练。
CompTIA和其他组织的研究一致表明,安全漏洞的主要原因是员工的人为错误,他们要么不遵守政策,要么没有接受过提醒他们潜在安全威胁的培训。
但是,公司常常忽略了四堵墙内每天存在的风险。根据2015年10月CompTIA委托对美国1,200名全职工人进行的一项名为 “网络安全: 看看工作场所的员工网络安全习惯,“45% 说,他们在工作中没有接受任何形式的网络安全培训。我们不能指望员工 -- 第一道防线 -- 在不向他们提供这样做的知识和资源的情况下采取安全的行动。
使组织面临的网络安全挑战复杂化的事实是,他们正在与员工中的多代人打交道。婴儿潮一代,x世代和千禧一代都给组织带来了独特的安全挑战和风险。例如,在过去两年中,42% 的千禧一代的工作设备感染了病毒,而所有员工的32%。年龄也影响了安全意识。相比之下,只有21% 的婴儿潮一代,46% 千禧一代熟悉双因素认证。
随着新工人涌入劳动力市场,组织需要采取额外的预防措施,并确保他们接受了有效的培训。公司不能将网络安全培训视为一项一次性的活动,或者仅与IT部门相关的活动。它需要成为整个组织中所有员工的一项持续举措。
如果没有适当的人工行动和干预,最好的安全技术产品和最全面的政策和流程将无法正常工作。从前台的接待员到角落里的首席执行官,在整个组织中传播网络安全意识、知识和培训至关重要。否则,组织将面临成为下一个网络安全受害者的真正风险。