在網絡安全中,人是最薄弱的環節。很多企業最大的安全漏洞是在管理和文化方面,因為這些是人類交流的產物,而非技術的產物。
根據普華永道2016年《全球信息安全調查》顯示,僅有53%受訪者表示他們為員工開展過安全意識教育活動。
我們建議企業繼續改進安全策略,為不斷增長的網絡安全風險做好準備。安全策略應包括實施強有力的循環控制,以識別新的內部風險并提高安全控制。
將網絡安全融入到物聯網這樣的新技術規劃當中同樣重要。除了調整重點區域的安全策略之外,還要評估最新的網絡法律法規中可能存在的差距。
但僅有技術安全控制措施并不足以提高網絡安全。聰明的企業一直懂得,在安全方程式中,人的因素是至關重要的。
很多企業正在擴充主要高管和董事會的職能,以加強網絡風險的溝通,并幫助建立更加精細、更有彈性的網絡安全功能。他們也正在給高管和員工開展網絡安全意識的教育活動,內容涉及網絡安全的基礎知識和人性弱點,如魚叉式網絡釣魚這種成功的攻擊技術。
對于黑客而言,利用社交工程技術獲取機密信息,通過操縱某企業中的合法員工透露敏感信息,或者讓他們做一些違反公司政策的事,這種現象并不少見。
因此,樹立企業內部的安全意識,維持高水平的安全警戒,以降低安全風險是至關重要的。
沒有什么比高管設定網絡安全十分重要這個基調,并且個人(包括高層和中層管理人員)都將為自己的行為負責,更具影響力了。企業高管必須提升信息安全的性能和限制。如果連公司高管不相信,其他人又為何要遵循呢?
盡管設定基調并不會擊退單一的企業外部或內部的攻擊,但有了企業高管的支持,安全控制措施能夠更有效地保護企業。
有了這一支持,企業中所有必須完成的活動便都有了目標,有了方向,更增強了企業的力量。缺乏高管的支持定會招致損失,甚至是更大的風險。
對于一個企業而言,提高安全意識的關鍵是與企業所有人員溝通存在的威脅和可用的對策。各級管理人員,特別是中層管理人員的判斷,對企業網絡安全來說非常重要。
關于作者: 薩繆爾·辛恩(Samuel Sinn) 是普華永道中國網絡安全服務合伙人。
(譯者:張蕓)
