假如您是一名信息安全负责人,您所服务的工作单位刚刚遭遇了网络入侵,对您来讲,这是多么不好的消息呀!您需要立即启动安全事件应急响应计划,并开始相关的工作流程,包括应急处置、调查补救、通知用户、事件上报、进行善后、再发防范……对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:您肯定有想为什么会出现这种事情呢?如果您有仔细观察近年来的网络安全新闻,就会发现类似的网络入侵事件很常见。有的企业财务人员点击了可疑的网络链接,结果让黑客入侵了电脑并冒名向客户发送更改银行账户的邮件。有的涉密人员开启了陌生来源邮件附件,结果导致敏感和机密外泄。
作为网络安全企业的研究部门,我们见到各类新的网络安全技术、服务、架构不断出现,他们都声称可以防范安全入侵。当然,我们不能否认所有的安全控管措施都有一定的效力,不过,我们似乎更应该深入了解造成这些网络入侵事故的根本原因,“头痛医头,脚痛医脚”只能停留在表面,是解决不了根本性问题的。众多安全事故的背后都有什么共性呢?我们发现安全认知的失误是关键原因,进而导致行为的不安全或粗心大意。说到底,是组织机构缺乏必要的网络安全文化和安全基因,而这些是防范和减轻安全事故的核心要素。
组织机构的价值观决定着安全文化和基因,要改变决非易事,这就是很多头部机构在网络安全方面表现的很稳固很可靠的原因,也是很多落后机构在遭遇一次重大安全事件后便濒临倒闭的原因。那么,如何改进安全文化与基因呢?建立组织层面的信息安全计划,是无二选择。切记,安全文化的建立和改进绝非一朝一夕之事,所以不能用搞冒进运动、搞快速项目的方式来运作,需建立可重复、可循环、可改进的周期性安全计划方案。
如下,是我们列出的几项关键工作,这些不是什么秘密,然而,要做好并不容易。
一、为网络安全人员建立日常节奏性、规范性的日常工作。建立一套工作总结、汇报和考核体系,以此来不断激励安全团队人员关注安全威胁事件、学习掌握安全知识、改进安全管控措施、提升安全管理水平。
二、在网络安全计划中积极观察并了解情况,并让领导者和利益相关者参与其中。领导者是批准和发布安全计划的总负责人,也是建立安全文化和基因的承诺者和示范者。只有领导负责并带头学安全、用安全,中层干部及广大职员们才会效仿,安全习惯才能最终养成,文化与基因才会深入组织机构的血脉。
三、建立、执行并不断改进信息安全策略、标准及工作流程,主要包括针对最终用户、IT服务团队等两大类。针对用户的安全策略及标准包括诸如密码策略、桌面安全、互联网使用、移动设备安全、邮件安全、差旅安全等等;针对IT服务团队的安全策略及标准包括如服务器安全、网络评估、远程访问、边界安全、加密策略等等。
四、对最终用户进行定期的网络安全文化宣教,包括安全意识培训以及网络钓鱼攻击敏感性测试。这些培训和测试都有相关的输出,非常适合为最终用户即时提供成功或失败的反馈,安全管理组织及安全宣教负责人员可以获得培训及测试情况的详细报告,从而获得网络安全计划实施的状态情况。最终用户是安全文化表现的末端,衡量他们的安全知识和行为,是了解安全文化建设和基因改造计划的重要指标。
总之,在组织机构内营造网络安全文化,植入信息安全基因,让组织机构具有抵抗网络攻击的能力,避免成为网络攻击的受害者,至少降低受到成功网络攻击的可能性。在这方面,我们认为是应该靠长久的网络安全建设计划来实现,在网络安全投资之中,应该是优先级最高的,可能不是最紧迫的,却是最重要的。
为帮助各类型的组织机构导入和改进信息安全管理体系及网络安全文化,昆明亭长朗然科技有限公司创作了大量的网络安全文化宣教素材资源,包括针对最终用户的安全意识培养电子教程、动画视频和平面图片。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。
