人类世界越来越以数据为中心,现代企业依靠数据运行,人们根据数据做出改变世界的决策。要做到尊重他人,就必须做到尊重数据。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:组织机构受托负责保护与个人健康和身份相关的数据。对此,世界各文明国家陆续出台了个人信息数据安全保护相关的法律,以规范数据使用行为,例如我国就发布了《数据安全法》和《个人信息保护法》,尽管法律法规中有大量详细的条文,业界也有大量的解析,甚至配套的细则也不断出来,但是其核心思想却不被人们所知晓,那就是“尊重”二字。因为只有当您尊重数据时,您才是在尊重拥有该数据的人员。只有在尊重的基础上,您才会把法律条文放在眼中。否则,只会把法律要求当成迫不得已必须满足的目标,甚至藐视法律,进而想方设法规避或者滥用法律。
通常,当我们探讨企业数据安全时,首先想到的是外部入侵者。可能是某个脚本小孩在黑暗的地下室入侵网络服务器,或者可能是来自海外网络间谍组织的更复杂的攻击。但是大量事实证明实际情况并非如此,企业数据安全面临的最大威胁之一可能是坐在办公室隔间中的职员,也就是人们常说的内部威胁。
虽然黑客变得越来越老练,但是组织机构面临的大部分威胁实际上来自内部。一项调查表明:三成的受访公司表示,与来自外部的类似攻击相比,内部事件“代价更高或破坏性更大”。这并不是说所有员工都有恶意(尽管有可能),但是他们可能没有受过良好的安全培训,或者企业数据安全策略可能执行不力。如下类型的数据通常是高度敏感的,值得受到尊重,不过,在现实世界中的很多时候,它们却并没有得到尊重,而只是被视为一种普通的商品,而并非真正的有价值的重要资产。
- 个人身份信息,例如身份证号码和家庭住址
- 赋予公司战略优势的知识产权
- 为业务战略提供信息的敏感财务信息
- 必须保密的个人健康数据
任何数据泄露都可能威胁到组织机构的声誉,更不用说来自内部的了。那么,我们可以做些什么来保证客户的数据安全及用户的个人信息安全呢?
首先,当您尊重他人时,您将通过确保数据在其整个生命周期中始终保持安全和受保护来尊重他们的数据。要明白,大多数恶意内部攻击发生在员工离职之前的一个月之内。毕竟,无论员工有多么讨厌他/她的老板/上司,或者想获得雇主最有价值的知识产权,通常都不会在平时下手。但是,一旦确定了离职,进入到倒计时阶段,所有的恶行都可能发生。此外,如果员工在收拾好办公桌后仍然拥有电子邮件或远程登录权限,那必将是一个更好的机会。员工可以在自己舒适的家中登录前雇主的服务器或电子邮箱。当您看到很多大厂“快速解职”流程,离职面谈完毕,立即上缴电脑、工卡、停用账号并被陪送离开,就会很容易理解。
当然,我们并不想表现的愤世嫉俗。将员工都视为“内鬼”或“鼹鼠”太打击士气了,如果让员工感到不受信任,那工作起来肯定不会卖力。如果有员工损害了企业数据安全,则更有可能是因为他们从电子邮件中下载了病毒,而不是因为他们对企业心怀不轨。事实上,如果员工觉得自己没有得到应有的尊重,表现出对员工极度缺乏信任可能会使他们更有可能发起攻击。
其次,管好账户和权限,一般来说,最佳做法是遵守“最小特权原则”,即仅在需要数据的时候将访问权限限制在需要数据的人员,离职人员当然不再需要这种访问权限。除了这些行动之外,还需与离职人员签署离职保密协议、竞业协议等等,并进行必要的沟通说明,以便给离职员工以足够的警示。
再有一项重要策略是阻止对USB端口的访问。如果公司工作电脑具有USB接口,可以使用电焊焊死,以便流氓员工无法使用它们。这不仅可以防止故意的数据盗窃,还可以防止不了解适当的企业数据安全预防措施的员工无意泄露。当然,更应该通过充分的安全培训来弥补这些知识空白。
还有,员工可能会下载他们认为有用的生产力应用程序或来自网站的扩展、来自盗版网站的载有特洛伊木马的种子或来自垃圾邮件发送者的危险点击。它们可能会通过内部工作网络肆意传播,如果没有适当的网络隔离,可能会传播到包含最宝贵数据的服务器,进而窃取宝贵数据甚至加以勒索。防范之道是运行病毒扫描程序和数据备份,当然,还应该阻止对一些常见不良网站的网络访问,例如破解站点、种子站点等,并阻止员工在未经IT人员明确许可的情况下自行下载程序。当然,这些也都需要与员工们进行沟通,以换取理解和认可。
最后,网络钓鱼、电信诈骗和社会工程攻击者可以利用员工获取各种内部数据,包括账号、密码、重要信息,以及访问内部设施。如果员工不知道如何识别他们,那么他们薄弱的防御能力就会让公司遭受攻击。在防止网络钓鱼方面,安全知识是保证成功的唯一的防御措施。确保为所有员工提供充足的企业数据安全培训,包括有关如何防止网络钓鱼和社会工程攻击的信息,以及在电子邮件、即时消息和电话沟通中需要注意的危险信号。
如果员工发出了任何的危险信号,请记下他们。根据一项网络犯罪状况报告,犯下网络犯罪的员工通常会事先表现出明显的行为特征,例如信息安全政策的违反和某种泄密行为。
当谈到内部威胁时,请记住两个常见的格言:“知己知彼”和“我们看到了敌人,那就是我们自己”。请确信一点,只要企业制定了正确的安全政策,大多数由于内部人员引起的数据泄露事件都是完全可以预防的。但是,为了保护自己免受内部人员的侵害,了解员工可能如何损害数据安全就显得非常重要。
在结束本文之前,请记住:雇用员工是为了帮助开展业务,不能因为糟糕的安全实践而使员工们变得脆弱不堪。通过在信息安全意识方面赋能员工,让其能够使用正确的策略和工具,不仅可以保护组织机构免受黑客、间谍、窃贼等网络犯罪分子的侵害,还可以帮助防范内部威胁,并保护办公室职员的个人安全。
昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。
