疏忽/意外事件使内部威胁保护政策处于危险之中
最近的ISF研究发现疏忽和意外事故也会危及内部威胁保护,越来越多成为数据安全事故。在本期 问与答中,ISF的总经理Steve Durbin讨论ISF的研究发现,和实施内部威胁保护的最佳方案。
内部员工的恶意攻击通常是内部威胁保护工作的重点,但疏忽和意外事件作为数据安全威胁,却往 往被忽视。 技术进步和不断变化的工作环境,迫使企业将信任交到那些处理敏感公司信息的员工手中。商业信息的内部威胁是一个重大问题,企业安全政策严重依赖员工密切遵 守管理条例,以确保数据受保护。 Information Security Forum (ISF)的总经理Steve Durbin认为,内部威胁不仅限于恶意员工寻求经济利益。最近的ISF研究发现疏忽和意外事故也会危及内部威胁保护,越来越多成为数据安全事故。在本期 问与答中,Durbin讨论ISF的研究发现,和实施内部威胁保护的最佳方案。
ISF的研究发现了哪些与内部威胁相关的结果?最近几年,这些类型的威胁是如何发展的?
Steve Durbin:内部员工的恶意攻击,主要出于经济利益或意识形态原因,目的是偷窃信息,或破坏企业。但是还有其他两种类型,内部员工的疏忽和意外事件。疏 忽是指知晓企业数据安全政策的员工:假设我们有一个规定,防止员工向企业外的人员甚至企业内的人员,发送大型文件,比如使用Dropbox。但是这个员工 发现,他想要发送对象的电子邮箱有文件大小限制,于是,他们会说,这一次就破例,把文件放在Dropbox,这样对方就可以访问了。 这就是疏忽,知道有一个数据安全政策,但是采取措施避开它,出发点通常是好的。还有意外事件,不管出于什么原因,员工犯了一个错误,发送了错误的信息给不 应该收到它的人。他们没有特意避开数据安全政策,没有故意去这样做,只是犯了一个错误。意外事件往往是安全部门最难解决的类型。和我们的成员交谈,问他们 企业内的意外事件,他们认为大约30 - 40%的安全事故是由一些个人的意外行为造成的。 这更强调了需要沟通,意识,培训,那些安全部门正在努力的所有事情,并且在过去的一年内花费了大量资金,但仍然没有取得重大成效。
企业能做些什么来保护他们的业务数据,避免这些类型的内部威胁呢?
Durbin:企业必须经过一系列的阶段。首先是评估被处理信息的价值,使他们对于信息的重 要性有清晰的认识。他们必须联合业务部门一起做,这不是安全部门单独能做的。一旦完成了评估,你可以进行技术和管理控制。然后我们进入第三阶段,也就是评 估访问信息的个人,和他们为什么需要访问这些信息。 以上这些并不能完全解决意外事件。第四阶段,要建立信任。让员工明白他们在访问和保护信息完整性上,所扮演的职责。这取决于不同的部门,不同的职能,但是 要从员工角度清晰表明职责,以及从雇主角度清晰表明职责。 我之前所说的那些阶段,评估信息,控制到位,决定谁能够访问信息,都是确保你能够建立和员工之间信任的基础。我们不可能防止所有的意外事件,但是通过提高 整体意识,明确不同的职责,你可以期望降低概率,员工在行动前,停下来思考,而不是直接采取行动。
对于内部威胁保护,什么类型的培训被证明最有效,特别是针对那些不知道自己犯错的员工所造成的意外事件?
Durbin:有效的培训,包括进行这一方面的模拟,强调一些事件,以及它们是如何发生的。 关键是信息的流动, 我认为这再次强调了要信任员工,并且解释这些事件,发生的根本原因,以及需要注意的事情。 信息的流动肯定会有所帮助。同时,更好地与业务部门互动,明确这些是关键业务问题,而不仅是安全问题。 我们所谈论的一切都不仅是安全问题,这关系到企业如何管理他们的信息,如何保护信息的完整性,以及确保信息在合适的时间出现在合适的地方。很明显,其中也 有困难。你必须有相应的企业数据安全政策,流程和步骤,供员工参考,你必须在企业内各级中执行它们。
多年来,我们一直相信安全应该从企业高层开始。鉴于现在的数据威胁数量,你认为企业是否有足 够的安全意识?
Durbin:我们看到一些改变。当然,最近的研究显示,各类企业内,C级管理层对于安全的意识有所增加。现在,我不认为有任何企业,不以任何形式或方式 在网络中运营。如果现实是如此,那么网络安全必须列入企业最高管理层的议事日程。 当然,还有其他各种各样的原因,我们处理信息,特别是敏感信息的法规和条例的增加,持续聚焦董事会成员的职责。这其中的实际问题:企业必须面对网络对于他 们的业务是关键因素,这样一个事实。也许他们保护信息的方式,与股东,客户,供应商交流的方式,需要以网络化的方式刷新,以确保拥有适当级别的安全流程和 步骤, 以防止信息意外损失,或失窃,以防信息落入错误的人手里。
0赞好文章,需要你的鼓励
推荐文章
超越通用基准测试:Yourbench 如何让企业用实际数据评估 AI 模型
Hugging Face推出开源工具Yourbench,允许企业创建自定义基准来评估AI模型在其内部数据上的表现。这一工具通过复制大规模多任务语言理解基准的子集,以极低成本实现了对模型性能的精确评估。Yourbench的出现为企业提供了更贴合实际需求的AI模型评估方法,有望改善模型评估的方式。
Devin 2.0 来袭:Cognition 将 AI 软件工程师月费从 500 美元大幅降至 20 美元
Cognition AI 推出 Devin 2.0,这是其 AI 驱动的软件开发平台的更新版本。新版本引入了多项功能,旨在提升开发者与自主代理之间的协作效率。最引人注目的是,Devin 2.0 的起价从每月 500 美元大幅下调至 20 美元,使其更易于普及。新功能包括并行 Devin、交互式规划、代码库搜索等,有望提升开发效率并增强用户控制。
CIO 传奇人物 Andi Karaboutis 谈每位 IT 领导者都应该掌握的技能
安迪·卡拉布蒂斯是一位杰出的CIO,她的职业生涯横跨多个行业和地区,经历了多次变革时刻。她在福特和通用汽车锻炼了领导力和技术专长,后来在戴尔、拜奥根和国家电网等公司担任高管,推动战略创新。本文总结了她对IT领导者核心技能的见解,包括战略沟通、情商、协作、远见卓识、变革管理和敏捷性等,对当今IT领导者具有重要参考价值。
边缘 AI 机器人和智能设备即将到来
边缘 AI 计算将使人形机器人、智能设备和自动驾驶等应用从数据中心和云端服务器解放出来,转移到制造车间、手术室和城市中心等场景。它能实现低延迟和自主决策,使 AI 无处不在,推动工业设施全面自动化,彻底改变商业和生活方式。边缘 AI 正在快速发展,各大科技公司纷纷推出相关硬件和软件平台,未来将为各行各业带来巨大变革。
2016
03/23
09:53
分享
点赞
最新文章
1.9倍性能提升!英特尔至强6在MLPerf基准测试中表现卓越
超越通用基准测试:Yourbench 如何让企业用实际数据评估 AI 模型
Devin 2.0 来袭:Cognition 将 AI 软件工程师月费从 500 美元大幅降至 20 美元
CIO 传奇人物 Andi Karaboutis 谈每位 IT 领导者都应该掌握的技能
边缘 AI 机器人和智能设备即将到来
全球风投融资在第一季度达到 1130 亿美元,AI 大额交易成主要驱动力
Commvault 与 SimSpace 合作推出网络攻击训练服务
Adobe 发布 Premiere Pro 生成式 AI 视频扩展功能
7个常见的转型错误及其避免方法
异构技术栈、勒索软件和 ITaaS:灾难恢复的噩梦
CoreWeave 令人失望的 IPO 是否预示着 AI 泡沫?
AI 机器人流量负担令维基百科管理者忧心忡忡
相关文章
邮件订阅
白皮书
数字化转型方略
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
