如果要从最近发生的大规模安全漏洞,特别是涉及勒索软件的事件中吸取教训,哪绝对就是:对企业员工进行适当的培训可以大大降低被入侵渗透的机率。不幸的是,正如最近通告中所证实的那样,企业一直未能充分的培训员工的安全意识。大多数互联网企业忽视安全培训这样一个关键组成部分而导致业务上灾难性的事件,在往往令人不可理解。
有效的安全往往需要统一的方法。合适的技术和较好的保护策略至关重要。但是,它们往往不能提供全面完整的解决方案。最近安全机构的研究表,大多数安全事件的核心是人为因素。人为因素是信息安全方面最薄弱的环节之一。近期的医疗保健行业违规的例子,案例强调需要更好的安全培训。根据我以往的经验,未能为员工提供适当和持续的安全培训,企业将会滋生更多更严重的安全漏洞。
另一方面,企业愿意花费数千万购买和部署先进的信息安全产品和技术,花费更多的金额来制定安全政策,数据处理规范等。但是投入到安全培训上的费用几乎没有。稍有点意识的公司,还能在不显眼的地方见到安全意识宣传海报,这种做法严重不足。
最好的网络安全培训和最佳实践
-
明确告知员工您需要保护的数据以及它的位置。通过技术训练他们如何安全的创建、访问和销毁数据。
-
定期审查异常的技术行为,并鼓励员工举报异常现象/遇到的问题。
-
不允许员工下载或者安装未经授权的/未经批准的软件或者应用程序,包括加密软件,远程访问,备份或者其他类似软件。
-
确保员工不使用公共电子邮件和使用安全的数据传递通道。例如,避免通过不安全的电子邮件,文本,社交媒体或者其他通信方式发送敏感数据,并且不允许他们将内部电子邮件或者文档发到个人电子邮件或者下载到个人设备。谨慎处理可疑的电子邮件和PDF文件。
-
教给员工们互联网使用的安全方式,比如确保一个网站的地址以'https'开始,然后再提交信息,并提醒信息一旦上传,互联网并没有删除回退的可能,互联网企业保留你的数据可能会被泄露。
-
提醒员工谨防智能手机应用程序提出的访问个人数据的请求授权,这些数据可能被用于分析并销售给他人。确保他们注意在个人设备上始终运行备份应用程序,这些应用程序可以复制数据并在线存储。
-
切勿允许第三方使用pc机或者工作站,或者在没有监督和适当合同保护情况下访问您的系统和业务数据。例如,考虑在允许第三方访问个人设备之前删除加密的数据。如果你正在购买或者处理设备,请安全地从设备中删除数据。
合适的员工培训有几个优点。其中最重要的是安全事件的减少和公司可以证明自己在勤奋地提升保护其信息和客户信息的能力。
如果遇上安全事件时,法院和监管机构会问的一个关键问题是:在这种情况下企业是否做了合理的事情来保护其信息数据? 我们都知道通常不可能获得信息可能会泄露,即使是最安全的系统也可能发生破坏。
对于许多的企业来说,针对目前和未来的安全问题进行持续培训的想法不在他们的工作范围之内。这种做法显然不对。需要分配大量的安全预算来确保解决这个认知上的错位。互联网企业可以对员工进行更严格的培训,以帮助企业实现更高的安全性,降低安全事故率。