在如今这个数字时代,安全意识是生产和生活的必备常识,需要更多地得以传播以使其更加普及,更为全员理解和接受。对此,昆明昆明亭长朗然科技有限公司信息安全意识服务专员董志军表示:在任何一家现代的组织机构内部,如果缺乏基本的信息安全基础知识渗透,会导致员工很容易成为简单的网络钓鱼和诈骗攻击的牺牲品,然后泄露敏感甚至机密信息。
毫无疑问,当今信息化时代,员工们就像组织机构的安全守门员,他们的安全意识水平越低,就越容易出现漏洞和招致风险,比如,网络犯罪分子很容易利用社会工程攻击技术,利用简单的网络钓鱼电子邮件和电话来引诱员工,提供账号密码或者运行木马程序,进而盗用身份,获得访问组织机构内部系统和关键信息的权限。
我们看一看驱动信息安全意识的几项关键要素,尽管它们并不是非常的全面。
一、业务信息安全需求,这是内生的动力,管理的动力,主要表现在内部审计,基本上是组织机构要求或认为重要的内部信息安全政策、标准与工作流程,它们需要得到有效的执行,需要有一个监管机制以确保整体的安全体系能够保障业务成功,需要有一个内部团队来检测和验证员工们的安全认知与行为是否符合这些要求。
二、合规的要求,这是来自外部的压力,通常包含多项法规或法律要求,主要表现为外部审计。因为组织机构的运营前提是必须遵守特定的法律,意味着将外部机构、团队及顾问人员引入组织机构。他们有基于例如网络安全法、等级保护、ISO/IEC标准等的特定指南,并且他们使用这些外部要求来测试和验证在安全意识方面,是否符合这些法律要求。
三、防范及应对黑客入侵事件,包括公司感觉某种坏事发生了,但是无法准确验证是否发生了,以及确定发生黑客攻击事件了,公司需要保护重要的信息资产,而且必须对攻击进行调查取证和逆向溯源,以弄清楚到底发生了什么。在确定了事实之后,还需要实施、改进安全方面的技术、流程及管理措施,以阻止这种情况再次发生。这些行动都少不了安全意识沟通。
四、保护内部数据防止泄露,内部人员主动、或者受诱惑泄密、窃密的情况,对组织机构往往会造成严重的危害,甚至危及存亡。安全意识的范围不仅仅限于安全管理制度的执行,以及应对外部的审计和黑客入侵,也包含员工们的职业操守,包括最基本的行为,如采取必要措施,保护组织机构的信息资产,而不是盗窃知识产权或贩卖重要数据。
五、防范各类IT风险,包括新软件安装,新流程的实施,以及新型设备的导入和启用。无论是CRM系统还是数据库系统,都需要进行分析。每个新软件都可能给公司带来需要缓解的额外风险,并且需要告知人们何时从特定应用程序收集数据,这些数据需要受到保护,并且访问权限被锁定给实际需要的人访问它。
以上五个部分是信息安全意识活动的一些关键的驱动因素,当然还有很多,以上几条足以证明信息安全意识的驱动力非常强大,我们没有必要全部列出。
那么,通过安全意识活动,组织机构需要达到哪些常见的目标呢?
一、安全意识活动的首要任务是传递信息,包括有关安全策略的关键信息和最佳实践,并告知用户如果他们没有更新防病毒软件,或者他们错误地使用数据,他们的行为会产生什么后果方式。
二、安全意识活动的次要目标,是希望职员们能够识别、报告和阻止异常活动,例如社会工程攻击、尾随、其他类型的不适当或可疑的活动。
三、安全意识活动需要传达更有深度的信息,包括安全策略、安全组织以及为什么安全策略要那样制定,背后的精神要义是什么?如果他们不遵守这些规则,会发生什么?
四、安全意识活动能够促使组织机构的整体安全状况得到改善,比如帮助检测攻击、报告并阻止攻击,以及在整个组织中与谁进行沟通交流,以确保它们不再发生的最佳实践。
五、安全意识活动应该有适合不同群体的方式和多种提供信息的形式,以便可以告知员工们哪些是适当和不适当的互联网使用、电子邮件使用、数据存储方法以及应如何处理数据和传输加密等。
六、安全意识活动将人员作为一种重要的防御形式,意味着这样做不仅仅是为了保护组织机构,这样做还保护组织内的人员以及离开了组织的人员、他们的个人资产以及家庭资产,甚至更广范围内的国家安全及社会安全。
员工们是关键信息系统及敏感信息数据的使用者和处理者,在员工们接受正确的安全意识教育之前,即使是最昂贵的安全工具也无法拯救您所属的组织机构,而安全意识活动将对组织机构以及员工们个人产生积极的影响。
在信息安全意识方面,组织机构与员工个人的利益是一致的,不仅仅表现在组织获得安全方面的成功,员工们获得更好的工作报酬,也表现在工作中的安全意识文化与行为,会影响到员工们在生活中的安全认知和行为,包括在防范诈骗、个人信息与隐私保护、资产与人身安全等等诸多方面的得益。
