谷歌不希望你必须考虑网络安全,类似于我们对呼吸的思考,这听起来像个好主意。然而,在我从事以色列国防军情报部队的几年中,到我在政府国家网络局工作多年的时间 - 在那里我与世界上受攻击最严重的组织之一,以色列电力公司 - 我我们了解到,仅仅信任技术绝不是一个好选择。
在网络安全方面,您的员工是您的第一道防线,根据Verizon的2018年数据泄露调查报告,几乎五分之一(17%)的违规行为是由人为错误引起的。教育员工,防止和应对违规行为,应该是您的组织关注的焦点。
更广泛地看待网络培训
培训和教育的增加需要在组织的每个层面 - 从邮件收发室到董事会 - 来解决金融,保险,能源和关键基础设施部门日益增加的脆弱性 - 而不是依赖科技巨头的反应式方法。随着在线威胁变得更加复杂,复杂和多方面,未经培训的员工变得比以往任何时候都更具安全风险。
网络安全知识不仅仅是IT或OT部门的责任,而是整个组织的责任。培训员工如何在网络攻击之前和期间采取行动对于任何组织的网络防御都是必不可少的。即使一个员工或经理打开一个看起来无辜的恶意电子邮件附件,整个组织也可能会受到攻击,无论您在网络安全技术中投入多少精力和金钱。
一个例子:勒索软件
勒索软件或任何其他社会工程攻击需要做出关键的快速决策,例如是否支付赎金,何时发布公开声明以及与相关机构共享信息。还有许多决定和方面需要注意以准备对抗此类攻击。在2017年高度宣传的WannaCry流行病中,人为因素在全球组织的脆弱性中发挥了重要作用。尽管在初始攻击之前发布了阻止WannaCry感染计算机所需的补丁,但全球许多系统都没有打补丁,导致病毒迅速传播。
高级管理人员,特别是首席信息安全官,负责制定最终的网络安全决策,但在攻击的阵痛中,可以在全球范围内做出多个同步决策。为了确保组织中的每个人都在同一页面上,高级领导层需要确保组织的政策和程序从上到下清晰。此外,还可以让员工了解当前的网络安全趋势并了解其最新动态。根据CompTIA的2018年网络安全趋势报告,36%的受访者表示对新安全威胁的理解不足是改变其IT安全方法的障碍,而28%的受访者认为对当前安全趋势的理解不足是一个障碍。
了解人们如何应对网络安全漏洞与防范网络攻击一样重要。超越技术的程序可以平衡人们的政策和技术。确保每位员工都了解基本知识。最好的网络安全防御是做出决策的能力。在风险管理和应对网络攻击方面,快速决策和网络安全知识比任何技术都更重要。
人类在前线
人类是预防和缓解网络攻击的最薄弱环节,而最好的防御措施是测试和培训人们的安全政策,技术和工具。当前网络安全的趋势是重建一个真实的工作环境,让员工处于他们必须防范的非常真实的网络攻击之中。全球各地的企业正在签约员工,以抵御网络攻击的实际操作风险。在现实生活中,理论符合实践 - 具有现实世界的后果。
全球员工,从初级到CEO和董事,都是第一道防线。他们越来越多地被要求了解预防和减轻网络攻击的基础知识,并接受这些方法的培训。过去,网络安全并不是普通员工日常关注的问题。安全任务被委派给IT团队。但是,整个组织中任何员工的一个错误都是非常昂贵的。
这就是为什么今天的公司要对组织的各个层面进行压力测试和培训,以深入了解网络威胁形势,他们可能面临的攻击类型以及这些攻击可能产生的影响。在安全的环境中,一种全面的,组织范围的方法,将人们与政策和技术联系起来并进行培训,是为下一波不可避免的网络攻击做好准备,使您的企业做好最具影响力,最长期和最真实的方式。
如果我能为您提供三个改进网络战略的技巧,那么它们将是:
人们应该是您的首要任务 - 他们是您企业资产的守护者。投资他们的知识和表现。它将获得巨大回报。
策略是动态的 - 始终检查,测试和重新检查它们。重写任何需要更新的东西,然后重新开始。
了解你的敌人 - 永远不要停止教育和了解每个被发现的攻击和攻击策略。我不能说得更清楚。知识确实是我们业务的救命因素。