《数据安全法》、《个人信息保护法》终于落地,组织机构需按照法规要求,对数据进行分类,用敏感标签对对象(资产、数据、信息等)和用许可标签对主体(用户)进行标记。在个人信息方面,一些例子包括:姓名、生日、医疗和健康信息、住址信息、指纹、面部等个人生物特征数据、任何类型的身份证号码、驾照号码、手机号码或护照号码都成为法律要求得到保护的对象。组织机构无疑应在可接受的使用政策、使用条款和隐私保护中明确披露收集的内容以及如何使用这些内容。信息资源分类后,IT基础设施和所有用户都应阅读并尊重分配的标签。因此,每个对象都将获得所需的安全性。
不过,要实施分类方案,必须执行几个主要步骤或阶段,通常强监管行业会受到等级保护制度、条例和规范的要求,而对于非强监管行业来讲,基于普遍的资产管理及风险管理准则,有如下几条亦是必须考虑的:一、确定数据保管人员和使用人员,并定义他们的职责。二、指定信息将如何分类和标记的评估标准。三、对每个资源进行分类和标记。四、记录发现的分类策略的任何异常,并将它们整合到评估标准中。五、选择将应用于每个分类级别的安全控制以提供必要的保护级别。六、规定解密资源的程序和将资源的托管权移交给外部实体的程序。七、创建一个组织范围的意识计划,以指导所有人员了解数据安全法规及信息分级分类系统。
第七条提到安全意识计划,有效的安全教育和沟通是以人为本的安全策略的关键要素。首先,让我来解释安全相关意识和培训的重要性,如果用户没有经过适当的培训以在安全环境的范围内执行他们的工作任务,那么安全就毫无用处。员工安全培训对于任何安全工作的成功都至关重要。它应该是整体安全策略和业务运营的一部分。这应包括通过在线资源进行交流、意识培训、教育和支持。作为任何组织中的安全管理专家人员,保持安全意识沟通畅通是必须执行的工作内容。
数十年来,大多数组织都投资于某种形式的安全意识活动。新技术、新威胁和新工作模式迫使组织寻求更复杂的行为支持方法(例如,企业文化发展),其中包含广泛的部署模型、增加的学习机会频率、针对特定环境的培训内容和结构,以及支持对意识和安全教育进行持续投资的指标。这意味着加强用户安全意识教育是一种努力,使安全成为所有员工的共同和常规思想。不幸的是,它通常是安全管理中最容易被忽视的元素。事实上,缺乏安全意识正是近年来基于社会工程学的攻击大获成功的主要原因。安全教育意味着广泛的安全培训,通常侧重于教用户安全地执行他们的工作任务。其中,从“少花钱多办事”的角度讲,包括最紧要的两项:
一、定期更新软件。在快速变化的威胁环境中,软件开发人员不断更新他们的产品以响应新发现的漏洞或新的攻击方法。不幸的是,许多组织仍然未能优先考虑软件更新,致使他们的系统容易受到网络安全攻击。更新软件不需要任何费用,而且是保持良好的数字卫生以确保数字基础设施安全的重要组成部分。因此,安全意识应鼓励员工们尽可能启用自动更新,并鼓励员工定期手动检查更新。
二、双因素身份验证。在过去几年中,数十亿个帐户凭据被盗和分发,每一个都威胁着组织的信息完整性。每天有超过百亿的云服务的欺诈性登录尝试。但是99.9%的攻击都被一个简单的网络安全功能挫败了,那就是双因素身份验证。较常用的双因素身份验证包括短信验证码、一次性口令牌、面部或指纹识别,帐户设置要求员工在访问其帐户之前使用身份验证器应用程序或其他连接点验证其身份。这是一种有效的网络安全解决方案,即使登录密码被盗或滥用,也能确保帐户安全。并不需要大额的投资来访问和实施双因素验证。在大多数情况下,双因素身份验证是一种只需要激活的帐户设置,企业应该对所有面向公司的帐户强制执行此操作。
另外两项“少花钱多办事”的网络安全管理策略仍然围绕着“人员安全”要素,包括:
一、员工意识和预防培训。当今广泛的威胁形势使网络安全成为所有组织机构的首要任务。换句话说,公司企业需要做的不仅仅是聘请网络安全专家或安装安全软件,还需要对员工进行威胁意识和预防最佳实践的培训。据估计,9成的非IT技术人员无法识别复杂的网络钓鱼攻击,一项行业调查发现,近八成的受访者承认在过去一年中至少从事过一项危险网络活动。另外,员工们往往不善于也不愿意经常更新或随机化他们的帐户密码,而且许多人很难区分个人(私人)和专业(工作)领域。这些行为使网络安全面临风险,无疑,员工意识和预防培训是立即加强内部网络安全的低成本高收益方式。
二、加强员工行为监控。虽然网络安全通常会让人联想到在国境之外世界另一端的不同地点开展活动的恶意威胁行为者,但是外部威胁并不占多数,最重要的威胁之一往往潜伏在组织内部的小隔间。也就是有权访问组织IT基础设施的员工、供应商、承包商,他们统被归类为内部人员,他们对网络安全构成越来越突出的威胁——“内部威胁”。根据一份最新的行业报告,八成的数据泄露涉及“人为因素”,因为公司内部人员以惊人的规律性破坏数据完整性。人为因素通常包括粗心或不知情的内部人员行为,自2018年以来,恶意内部人员攻击增加了半数以上。最近,有近八成提供远程工作的公司都采用了员工监控软件,该软件可以降低内部人员导致重大网络安全事件的风险。通过利用现有的员工监控软件来提高网络安全能力,组织可以在不增加支出的情况下解决重大风险。
昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。我们提供非常具有竞争力的价格,也从另一个意义上,让客户在数字安全时代,实现“少花钱多办事”。