在 COVID-19 時(shí)代，安全意識(shí)更為重要。大流行迫使許多員工離開辦公室的受控環(huán)境。他們?cè)诳蛷d和臥室工作，經(jīng)常使用不受 IT 部門控制的設(shè)備，同時(shí)從可能不安全的網(wǎng)絡(luò)進(jìn)行連接。

安全意識(shí)的重要性是什么？

安全意識(shí)是員工對(duì)組織面臨的安全威脅的理解程度。它包括對(duì)威脅的理解以及可以采取的應(yīng)對(duì)措施，特別是他們作為個(gè)人在創(chuàng)造和減輕潛在安全風(fēng)險(xiǎn)方面所發(fā)揮的作用。

網(wǎng)絡(luò)安全意識(shí)的首要重要性是減少威脅。員工和高管有權(quán)訪問(wèn)敏感數(shù)據(jù)，至關(guān)重要的是，他們必須了解這會(huì)如何以及為什么使他們處于弱勢(shì)地位。

此外，許多認(rèn)證和監(jiān)管框架要求員工接受培訓(xùn)以提高其安全意識(shí)，包括 PCI-DSS、HIPAA 和 SOC 2。

企業(yè)面臨的信息安全威脅

在我們了解企業(yè)如何提高員工和高管的安全意識(shí)之前，讓我們考慮一下美國(guó)各地企業(yè)每天面臨的一些威脅。

網(wǎng)絡(luò)釣魚攻擊是針對(duì)企業(yè)的最常見攻擊之一。攻擊者欺騙電子郵件或即時(shí)消息身份，誘騙員工交出信用卡號(hào)或身份驗(yàn)證憑據(jù)等敏感數(shù)據(jù)。

勒索軟件攻擊使用惡意軟件來(lái)加密數(shù)據(jù)并要求贖金以換取解密密鑰。

CEO/高管欺詐攻擊冒充高級(jí)管理人員的電子郵件或社交媒體帳戶，誘騙員工將資金或敏感數(shù)據(jù)傳輸給攻擊者。

內(nèi)部攻擊是員工或高管違反信任的行為，他們將敏感數(shù)據(jù)泄露給未經(jīng)授權(quán)的第三方或故意使組織面臨其他類型的攻擊風(fēng)險(xiǎn)。

軟件和硬件配置錯(cuò)誤是最常見的漏洞之一。配置錯(cuò)誤或過(guò)時(shí)的軟件經(jīng)常被用作攻擊媒介，以訪問(wèn)敏感設(shè)備和網(wǎng)絡(luò)。

這些安全威脅帶來(lái)的風(fēng)險(xiǎn)可以通過(guò)提高安全意識(shí)和安全友好的公司文化在很大程度上得到緩解。

如何提高安全意識(shí)？

提高安全意識(shí)應(yīng)該是處理敏感數(shù)據(jù)的企業(yè)的首要任務(wù)，特別是如果這些數(shù)據(jù)符合PCI-DSS和HIPAA等監(jiān)管標(biāo)準(zhǔn)。

安全意識(shí)培訓(xùn)

組織的安全性不僅僅是其安全和 IT 團(tuán)隊(duì)的責(zé)任。每個(gè)高管和員工都應(yīng)該發(fā)揮作用。然而，普通人群的平均安全意識(shí)水平相當(dāng)?shù)?，即使在技術(shù)員工中也是如此。

提供培訓(xùn)至關(guān)重要，為員工提供識(shí)別威脅和適當(dāng)應(yīng)對(duì)威脅所需的知識(shí)和工具。一刀切的安全意識(shí)培訓(xùn)方法是無(wú)效的。安全培訓(xùn)應(yīng)與員工、他們的角色和他們現(xiàn)有的知識(shí)水平相關(guān)。

安全風(fēng)險(xiǎn)分析

盡管企業(yè)面臨著許多普遍存在的廣泛威脅，但他們還必須意識(shí)到其技術(shù)選擇、運(yùn)營(yíng)流程和招聘實(shí)踐帶來(lái)的特定威脅和漏洞。這些因素中的每一個(gè)也可以與監(jiān)管框架相互作用，以產(chǎn)生一系列獨(dú)特的安全挑戰(zhàn)和潛在威脅。

安全意識(shí)培訓(xùn)應(yīng)針對(duì)每個(gè)企業(yè)的安全挑戰(zhàn)量身定制，同時(shí)滿足讓員工和高管廣泛了解潛在威脅和漏洞的需求。

安全測(cè)試

安全測(cè)試可幫助企業(yè)識(shí)別潛在的安全漏洞。在測(cè)試期間獲得的知識(shí)可用于緩解漏洞并為安全意識(shí)培訓(xùn)計(jì)劃提供信息。

例如，模擬網(wǎng)絡(luò)釣魚攻擊通常用于識(shí)別可以從有針對(duì)性的培訓(xùn)中受益的易受攻擊的高管和員工。滲透測(cè)試，也稱為滲透測(cè)試或道德黑客攻擊，也可用于突出要通過(guò)培訓(xùn)解決的特定漏洞領(lǐng)域。

將安全和隱私放在首位

組織具有相互競(jìng)爭(zhēng)的優(yōu)先級(jí)，安全性和隱私可能會(huì)因其他運(yùn)營(yíng)和財(cái)務(wù)考慮而失敗。當(dāng)安全性優(yōu)先級(jí)較低時(shí)，組織提供最少或不存在的安全預(yù)算，導(dǎo)致高管缺乏興趣，并且在實(shí)施軟件和業(yè)務(wù)流程時(shí)表現(xiàn)出不愿意關(guān)注安全性和隱私性。

如果員工覺得他們的管理層沒有優(yōu)先考慮信息安全，他們就不太可能對(duì)潛在風(fēng)險(xiǎn)給予足夠的關(guān)注。

安全意識(shí)培訓(xùn)是企業(yè)可以強(qiáng)調(diào)安全性重要性的一種方式，但組織和團(tuán)隊(duì)中的某個(gè)人全面負(fù)責(zé)監(jiān)視和實(shí)施安全策略也很重要。

培養(yǎng)安全友好型文化

安全意識(shí)與獎(jiǎng)勵(lì)報(bào)告安全問(wèn)題的員工并與他們合作提高意識(shí)的文化齊頭并進(jìn)。對(duì)安全的消極態(tài)度可能會(huì)阻礙報(bào)告和緩解安全問(wèn)題。

要培養(yǎng)積極的安全文化，請(qǐng)執(zhí)行以下操作：

將安全錯(cuò)誤視為培訓(xùn)機(jī)會(huì)，而不是羞辱或懲罰的機(jī)會(huì)。

鼓勵(lì)和獎(jiǎng)勵(lì)報(bào)告潛在漏洞的員工。

營(yíng)造合作氛圍，使員工相信公司中的每個(gè)人都在朝著共同的安全目標(biāo)努力。

對(duì)安全過(guò)度保密和對(duì)犯安全錯(cuò)誤的員工的嚴(yán)厲對(duì)待可能會(huì)滋生一種恐懼氣氛，阻礙對(duì)安全問(wèn)題的公開討論。

安全意識(shí)是安全、隱私和法規(guī)遵從性的重要組成部分。安全意識(shí)培訓(xùn)、安全友好型文化以及滲透測(cè)試等技術(shù)方法可幫助企業(yè)降低風(fēng)險(xiǎn)并避免破壞性違規(guī)行為。

審核編輯：郭婷