疏忽/意外事件使内部威胁保护政策处于危险之中
最近的ISF研究发现疏忽和意外事故也会危及内部威胁保护,越来越多成为数据安全事故。在本期 问与答中,ISF的总经理Steve Durbin讨论ISF的研究发现,和实施内部威胁保护的最佳方案。
内部员工的恶意攻击通常是内部威胁保护工作的重点,但疏忽和意外事件作为数据安全威胁,却往 往被忽视。 技术进步和不断变化的工作环境,迫使企业将信任交到那些处理敏感公司信息的员工手中。商业信息的内部威胁是一个重大问题,企业安全政策严重依赖员工密切遵 守管理条例,以确保数据受保护。 Information Security Forum (ISF)的总经理Steve Durbin认为,内部威胁不仅限于恶意员工寻求经济利益。最近的ISF研究发现疏忽和意外事故也会危及内部威胁保护,越来越多成为数据安全事故。在本期 问与答中,Durbin讨论ISF的研究发现,和实施内部威胁保护的最佳方案。
ISF的研究发现了哪些与内部威胁相关的结果?最近几年,这些类型的威胁是如何发展的?
Steve Durbin:内部员工的恶意攻击,主要出于经济利益或意识形态原因,目的是偷窃信息,或破坏企业。但是还有其他两种类型,内部员工的疏忽和意外事件。疏 忽是指知晓企业数据安全政策的员工:假设我们有一个规定,防止员工向企业外的人员甚至企业内的人员,发送大型文件,比如使用Dropbox。但是这个员工 发现,他想要发送对象的电子邮箱有文件大小限制,于是,他们会说,这一次就破例,把文件放在Dropbox,这样对方就可以访问了。 这就是疏忽,知道有一个数据安全政策,但是采取措施避开它,出发点通常是好的。还有意外事件,不管出于什么原因,员工犯了一个错误,发送了错误的信息给不 应该收到它的人。他们没有特意避开数据安全政策,没有故意去这样做,只是犯了一个错误。意外事件往往是安全部门最难解决的类型。和我们的成员交谈,问他们 企业内的意外事件,他们认为大约30 - 40%的安全事故是由一些个人的意外行为造成的。 这更强调了需要沟通,意识,培训,那些安全部门正在努力的所有事情,并且在过去的一年内花费了大量资金,但仍然没有取得重大成效。
企业能做些什么来保护他们的业务数据,避免这些类型的内部威胁呢?
Durbin:企业必须经过一系列的阶段。首先是评估被处理信息的价值,使他们对于信息的重 要性有清晰的认识。他们必须联合业务部门一起做,这不是安全部门单独能做的。一旦完成了评估,你可以进行技术和管理控制。然后我们进入第三阶段,也就是评 估访问信息的个人,和他们为什么需要访问这些信息。 以上这些并不能完全解决意外事件。第四阶段,要建立信任。让员工明白他们在访问和保护信息完整性上,所扮演的职责。这取决于不同的部门,不同的职能,但是 要从员工角度清晰表明职责,以及从雇主角度清晰表明职责。 我之前所说的那些阶段,评估信息,控制到位,决定谁能够访问信息,都是确保你能够建立和员工之间信任的基础。我们不可能防止所有的意外事件,但是通过提高 整体意识,明确不同的职责,你可以期望降低概率,员工在行动前,停下来思考,而不是直接采取行动。
对于内部威胁保护,什么类型的培训被证明最有效,特别是针对那些不知道自己犯错的员工所造成的意外事件?
Durbin:有效的培训,包括进行这一方面的模拟,强调一些事件,以及它们是如何发生的。 关键是信息的流动, 我认为这再次强调了要信任员工,并且解释这些事件,发生的根本原因,以及需要注意的事情。 信息的流动肯定会有所帮助。同时,更好地与业务部门互动,明确这些是关键业务问题,而不仅是安全问题。 我们所谈论的一切都不仅是安全问题,这关系到企业如何管理他们的信息,如何保护信息的完整性,以及确保信息在合适的时间出现在合适的地方。很明显,其中也 有困难。你必须有相应的企业数据安全政策,流程和步骤,供员工参考,你必须在企业内各级中执行它们。
多年来,我们一直相信安全应该从企业高层开始。鉴于现在的数据威胁数量,你认为企业是否有足 够的安全意识?
Durbin:我们看到一些改变。当然,最近的研究显示,各类企业内,C级管理层对于安全的意识有所增加。现在,我不认为有任何企业,不以任何形式或方式 在网络中运营。如果现实是如此,那么网络安全必须列入企业最高管理层的议事日程。 当然,还有其他各种各样的原因,我们处理信息,特别是敏感信息的法规和条例的增加,持续聚焦董事会成员的职责。这其中的实际问题:企业必须面对网络对于他 们的业务是关键因素,这样一个事实。也许他们保护信息的方式,与股东,客户,供应商交流的方式,需要以网络化的方式刷新,以确保拥有适当级别的安全流程和 步骤, 以防止信息意外损失,或失窃,以防信息落入错误的人手里。
0赞好文章,需要你的鼓励
推荐文章
Counterintuitive推出推理原生计算架构,欲取代GPU
人工智能初创公司Counterintuitive Corp.正式发布,旨在通过开发专为推理而非模仿设计的芯片和软件来重新定义AI。该公司提出人工推理单元(ARU)这一全新计算架构类别,以解决现代AI面临的"精度无真理、推理无记忆"双重困境。ARU采用确定性、记忆驱动的推理架构,配合全栈推理软件,承诺突破当前AI局限性,开启后GPU时代的智能计算新纪元。
北京大学团队首创WoW世界模型:让AI真正理解物理世界的革命性突破
北京大学团队开发出WoW世界模型,这是首个真正理解物理规律的AI系统。通过200万机器人互动数据训练,WoW不仅能生成逼真视频,更能理解重力、碰撞等物理定律。其创新的SOPHIA框架让AI具备自我纠错能力,在物理理解测试中达到80.16%准确率。该技术将推动智能机器人、视频制作等领域发展,为通用人工智能奠定重要基础。
AWS东海岸大规模故障影响数百家企业服务恢复缓慢
全球最大云服务提供商亚马逊云服务(AWS)遭遇大规模故障,影响政府机构、AI公司和金融平台等众多客户。尽管AWS称已基本恢复,但仍有用户无法连接租用服务器。故障源于关键数据库服务的数字目录故障,导致依赖该数据库的软件无法获取信息而出现连锁反应。受影响服务包括Venmo、苹果音乐、Zoom等数百个网站和应用。
港大和蚂蚁集团:AI如何让自己出题训练自己变聪明
香港大学和蚂蚁集团联合推出PromptCoT 2.0,这是一种让AI自动生成高质量训练题目的创新方法。通过"概念-思路-题目"的三步策略,AI能像老师备课一样先构思解题思路再出题,大幅提升了题目质量和训练效果。实验显示该方法在数学竞赛和编程任务上都取得了显著提升,为解决AI训练数据稀缺问题提供了新思路。
2016
03/23
09:53
分享
点赞
最新文章
相关文章
邮件订阅
白皮书
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
