对于政府机构或者知名品牌而言,内部威胁或许并不是他们要优先考虑的问题。毕竟,员工向未授权方共享你的敏感数据而获得的收益很少,而且损失很大。既然如此,那么他们为什么还要冒险呢?

事实上他们还是会共享数据,而且有一个简单的原因,即生产力。根据2017年的《终端用户安全调查》,有近四分之三的员工(72%)表示他们会在某些情况下共享敏感、机密或受监管的公司信息。无论他们是否有意要泄露信息,这些情况几乎每天都会发生。

什么是内部威胁?

内部威胁可以通过多种形式实现,从企业间谍活动到工作疏忽,例如把存有企业机密且处于解锁状态的笔记本电脑落在公共区域。

考虑一下和你团队合作的供应商、远程员工和承包商的数量,以及需要在这些团体之间流动以保持业务正常运行的信息类型。你的员工能够访问高度敏感的信息,如员工数据、信用卡信息、产品路线图、合作伙伴公告和财务绩效数据等,并且在一些日常情况下他们也需要向其它人共享信息。

更大的问题在于他们并不总是安全地共享这些信息。事实上,根据上述调查的数据,56%的员工依靠公共云服务(如Google Drive、Dropbox和iCloud等)来共享或备份他们的工作,45%的员工通过电子邮件发送敏感信息。

他们共享数据的本意是好的,但是要不了多久,这些数据共享会带来很大的风险。

内部威胁的代价

根据Verizon 2018年的《数据泄露调查报告》,在人为错误、工作疏忽、意外损失和企业间谍活动之间,有四分之一的违规行为都归因于人为因素。Ponemon Institute的另一项研究发现,直接和间接的内部威胁每年都会给企业带来870万美元的损失。

缓和内部威胁是否开始变成你要优先考虑的事项?好消息是,你可以采取一些明确的措施来降低与内部威胁相关的风险,而不用暂停生产。

如何保护数据元素

保护数据意味着要从两个角度来剖析内部威胁问题:技术和人员。

在技术方面,第一步是确保人员配备齐全。网络安全专业人员是公司内部安全的主要倡导者,要确保所有利益相关方都能将安全实践放在首位。确保公司内外部安全不应该仅仅是IT人员的责任。这些专业人士需要为经验老到的网络安全专家提供日常支持,以解决更严重的问题。要填补此专家职位,你可以聘请内部专家或外包给外部安全合作方。

既然你已经拥有了团队,那么你就要制定计划。与值得信赖的安全合作伙伴和IT决策者进行讨论,确保当数据泄露时(无论是内部或者外部威胁),每个人都会承担责任。部分计划应包括了解你的数据、用户以及所使用的技术。例如:谁有权访问敏感数据?谁应该有权访问?这些用户对你的数据做了什么?IT管理员如何确保他们始终了解数据的情况?

尽管有一些强大的政策和员工,但是你的数据仍然存在风险,因此必须要根据政策来使用工具。在选择数据安全工具时,重要的是要确保这些工具能够无缝地满足业务需求。这包括在任何地方都能保护数据;当可信赖的伙伴拥有数据时,对这一数据进行控制;以及当事情出现偏差时,使用智能监控来提醒团队。出于好意的员工也会犯错误,从而导致企业敏感数据被泄露。确保使用工具来保护数据,而无需终止企业业务。

其次,确保你的领导团队了解你的计划需求并提前解决这些需求,包括将网络安全融入到整体的业务战略中。网络攻击很有可能会给财务带来风险。网络安全准备应成为业务发展的一部分。

既然已经制定了计划并且已经拥有领导团队,那么你要对整个团队进行完整的培训。确保你的团队了解网络安全威胁的隐患,以及安全是每个人的职责。实施培训计划,帮助每个人(从刚入职的实习生到首席执行官)发现异常活动。快速培训并不会永久性地改变这一行为,因此务必要跟进规范行为,并继续提供网络安全方面的教育。随着网络挑战不断变化以及与日俱增,公司的员工也应该如此。

随着网络安全成为公司业务中更加重要的一部分,因此你要将安全性作为日常业务的一部分。当你和高层管理人员一起检查季度财务目标和基准时,请确保你也为安全性设定了目标和基准。当你查看业务以及安全计划时,你要考虑市场上存在能够让人们的生活变得更加轻松的新工具和技术。

既然你已经拥有了自己的团队、计划、工具和技术,那么你就要定期执行这些步骤,以及定期进行安全“健康”检查。随着技术的发展,网络威胁也会发生变化。在安全领域,你永远不会知道你的企业为何会成为下一个目标。

原文作者:Brett Hansen

信息化和软件服务网 - 助力数字中国建设 | 责编:赵曜 左右