保護企業網絡安全，不要忽視資料

如今，各種威脅到企業資訊化的行業已經司空見慣，而最近幾年企業紛紛轉向分析資料，以幫助防止資訊洩露。分析可以幫助确定哪些企業資訊是最脆弱的，并對那些缺乏資料保護知識與經驗的員工進行安全流程的教育訓練。

greycastle公司安全首席資訊官瑞格·哈尼什表示，盡管如此，許多公司仍然在網絡安全方面感到困擾，僅僅是因為管理者不利用它的優勢。在這個問題環節中，哈尼什讨論了商業領袖通過資料分析資訊，知道企業所面臨的最大的網絡安全是什麼？以及可能會忽略哪些有關潛在威脅。

記者：你認為目前企業面臨的大型企業網絡安全風險是什麼？有什麼新的或前沿的技術政策可以有效地幫助保護企業的資料？

瑞格·哈尼什：我們了解企業所面臨的威脅有着非常普遍的意義，但絕大多數企業上司人，其中包括主管和經理都不是很願意接受擺在他們面前的這樣的資料。從網絡安全的角度來看，我們很難知道發生了什麼事情，受到的襲擊來自何方，以及襲擊者偷走了哪些資料。但是，即使你有這樣一個資料，把它在企業決策者面前，而他們自己對此有一些認知偏差和情緒，他們在網絡安全決策做得并不是很好

我會在兩方面回答你的問題：一、組織的外部威脅變得越來越複雜，而且威脅也會很快的增長。二、在組織内部，如果你是一個組織的首席執行官，那麼我問你，“你面臨最大的網絡安全風險是什麼？”，你會告訴我，你認為你不能阻止人們點選連結，隻是不能讓員工帶來自己的u盤感染網站，而這些問題是根據員工自己的經驗來應對的。然後我問你，你是怎麼做的，你告訴我，“買防火牆？”，那麼你其實是一位在許多方面比較無知的首席執行官。組織的最大風險是其員工的行為。

網絡安全和隐私遵守：微妙的平衡

記者：移動資料威脅的狀态是什麼？移動資料也是一個大問題，因為已經發生，那麼企業有足夠的時間來調整他們？此外，最近幾年移動資料随着網際網路的發展，其所受到威脅是如何發展的？

哈尼什：我們在移動裝置上沒有看到很多具體攻擊或漏洞，即ios和android。但這些攻擊發生越來越多，頻率正在增加，複雜程度也日益提高，但我認為真正的故事在于其潛力和機會。專家估計，目前全球有50億到和100億個裝置連接配接到網際網路，2020年将會達到500億。這相當于地球上每個人擁有7個移動裝置，其中包括嬰兒和老人。現在想象一下，這些裝置中的每一個都有我們的個人資料：例如，我們的身份證号碼，甚至信用卡号碼，也許還有醫療記錄，也許這些都已經連接配接到其他所有的裝置，而這些裝置中的每一個都是脆弱的。

人們往往忽略的是，iphone隻不過是軟體。如今硬體沒有更好的，或者并不比任何其他硬體差。人們與軟體進行互動，而軟體随處可見。這些天，從汽車到建築中供暖和空調系統，這些都是由電腦控制。連接配接到網際網路的便利是強大的，這是因為人們在網際網路和物聯網急于連接配接裝置，而人們往往忽視了網絡安全風險。如果人們将其冰箱聯網，會有什麼與問題？我們并沒有要求解決這些問題，直到這些成為問題。物聯網并不改變整體的威脅環境，但它增加了網絡犯罪的機會。

記者：企業能否利用從合規性審計結果收集的資訊來支撐企業的網絡安全流程？為什麼可以或者為什麼不行？

哈尼什：如今，唯一比黑客更可怕的資訊稽核員。企業需要認識到，網絡安全風險來自不同的地方，他們必須了解符合相關的風險。如果在醫院，面對cms或ocr，由于你沒有很好地保護健康方面資訊，如果一些網絡幫派通路病人的電子病曆，這可能一個代價非常昂貴的問題。管理風險的過程已經成為組織的一個基本需求，因為存在着這麼多的威脅和漏洞，我們不能解決所有的問題。

如果我在這家醫院負責安全，在網絡安全方面我有很多事要做，但問題是我應該做什麼，什麼樣的順序，以及我應該做多少。我們隻是不提這些問題。如果我們真的不了解這個問題，我們傾向于把這歸于技術來解決，例如采用防病毒，防火牆，入侵檢測系統等技術措施和手段。這些技術工作都比較出色，但并沒有解決所有的網絡安全問題。我認為，75%的網絡安全風險是非技術相關因素所造成的。

記者：什麼樣類型的員工教育和教育訓練技術有利于保護企業網絡安全？

哈尼什：我們知道什麼是行不通的：沒有受過教育訓練和教育的員工不是好員工。然而我們知道，強迫員工去通過蹩腳的訓練也是不好的。控制人們的行為是不容易的，特别是沒有圍繞網絡安全的文化。例如這些制造商、保險公司，或銀行等，這些組織已經存在了很長一段時間，他們從來沒有想過網絡安全。如果希望招聘員工，認為進行教育訓練之後，其員工的工作将是完美的，這是不現實的。

如果你了解人腦，并知道大腦是如何工作的，我們如何學習和吸收資訊，為什麼我們保留這些資訊，你可以結合你的教育，再加上測試，以確定教育和教育訓練工作，并定期重複才能記牢，這是我們要求企業思考在網絡安全方面人員問題的原因。如果你不嘗試去解決這個問題，那它就真的是疏忽了。資料就在那裡，我們知道為什麼組織開始有了違規行為：由于人員失誤或失敗。我們需要花更多的時間進行處理。而改變人們行為的方式，必須是長期進行的，而這不是一朝一夕所能解決的。

本文轉自d1net（轉載）