最大的网络安全风险,其实来自组织内部
随着数字世界的不断发展,网络威胁和网络攻击的数量、种类和速度也在不断增长。世界上充斥着数据,总有人试图将其变成自己的虚拟货币。
今天,恶意软件和勒索软件的攻击无所不在,从我们的个人手机到关键任务的基础设施和供应链。无论是网络钓鱼、短信钓鱼还是电话钓鱼,攻击者也变得越来越狡猾,利用我们个人生活和工作生活的细节来诱使我们分享我们的数据。
然而,在一个人人都是目标的世界里,企业也需要了解自己面临的来自组织内部的风险。今天,超过3亿人在远程工作——无论他们走到哪里,都在创建、访问、分享和存储数据——而因内部威胁和简单事故引起的数据泄露每年平均会给企业造成750万美元的损失。看看2022年的Cash App数据泄露事件吧,一名前员工在被解雇后访问了客户财务报告。此次泄露可能影响到了820万现有及过去的客户。
最终,泄露是有意为之还是意外事件无关紧要。内部风险计划应该成为每家公司安全战略的一部分。要获得成功,企业在领导员工时应该把他们当作工作伙伴,并用先进的工具来补充他们的计划。无论内部风险出现在何处,这些工具都可以发现并减轻风险。
以下是我担任微软首席信息安全官(CISO)所吸取的四条经验。我负责管理我们的内部风险计划,它正从一个小规模的内部计划发展成为一个向CEO汇报工作的业务部门。
这一点摆在首位是有原因的。在商界和生活中,信任是任何正常关系的关键。最好的内部风险计划强调在员工隐私和公司安全之间取得平衡。至关重要的是,要制定隐私控制措施和政策,以维持甚至提高信任度。
设置工具、不分青红皂白地筛查员工活动中的错误行为,这样做不仅无效,而且适得其反——这是完全错误的做法。这是在侵犯隐私,会造成焦虑并损害关系。企业需要能够发现内部风险,但他们需要以正确的方式来做这件事,在一个狭窄定义的范围内采取透明行动,以显示对员工的尊重,并给予他们信任。
设置隐私控制措施来保护工作中的身份——甚至在调查期间——让员工知道你也在保护他们。针对内部风险管理工具,使用基于角色的访问,这也有助于确保由合适的人来检视合规性提醒,防止无端的猜疑潜入企业。
2、跨职能部门合作
虽然IT和安全团队会带头引路,但内部风险是一个涉及整个公司的经营问题。在微软,我们是在时间流逝的过程中认识到这一点的。最初只是我们安全部门的一项计划演变成了企业各团队的统一努力,包括法务、人力资源部门和高级领导层在内。
这种广泛的参与有助于确保更广泛的认同,并提供额外的视点和资源,比如法务部门优先考虑新出的法规,人力资源部门促进培训计划和调查。内部风险委员会或督察员可以帮助开展对话。他们的首要任务之一应该是创建一个应对方案,列举出如何分享信息、每个团队何时做出贡献及贡献什么、谁做出哪些决定、谁来负责。
同样重要的是,要有共同的目标和明确的成功衡量标准。你可以通过量化关键指标(比如提出的案件数量、正确判断和误判标记、以及根据调查结果采取的行动)来对这一过程进行微调。如果你有大量的误判标记,你就有可能让你的人力资源团队和法务团队承受不必要的、破费钱财的调查。
3、认识到员工是第一道防线,也是最后一道防线
让员工参与数据保护和合规培训可能具有难度,但重要的是,他们要知道如何降低安全风险以及为何这是头等大事。强调数据管理的培训表明,就在员工为企业服务之时,企业也在向员工传达信任。
要培训员工如何正确处理企业的数据,并定期重复这一信息,使其始终保持新鲜。这也有助于处理个人事务。大多数人立即明白并致力于如何保护他们自己的财务数据和医疗数据。在培训中注入个人方面的内容,这会将数据保护对企业的重要性联系起来。
按照“看到什么,说什么”的原则以无风险的方式对员工进行培训是内部计划的一项重要能力。通过改进数据安全教育和培训,公司可以让员工有能力成为第一道和最后一道防线,并以检测工具作为补充。
高德纳公司(Gartner)将内部风险管理定义为“衡量、检测和遏制企业内受信任账户不良行为的工具和能力”。近年来,内部风险管理工具已变得更加准确有效。
旧一些的工具通常忽略了一些细微的指标,而这些指标可以识别出试图隐匿行踪的危险分子。它们通常还进行过于严格的控制,降低了生产力并鼓励绕路。今天,一种新的内部风险管理工具正崭露头角,它具有自适应的安全能力,可以检测到风险活动并减轻任何潜在的影响,同时不妨碍工作并保持用户信息的私密性。
虽然打印机密文件这样的活动可能不会显示意图,但重命名文件,然后在打印后删除它等一连串相联系的活动可能表明有更严重的问题。如果使用机器学习,这些工具可以从噪音中分离出信号,并识别出微妙的行动,减少可能让企业陷入困境的误判。
管理内部和外部风险对任何企业的安全都至关重要。每种风险都有各自的挑战,但令内部风险管理特别棘手的是需要对人员、流程和技术进行平衡。
强大的工具可以帮助阻止、检测和应对内部风险——但它们不会解决根本原因。这就是详细的入职培训、安全培训、团队建设活动和工作-生活平衡计划的用武之地。打造一个健康的工作环境有助于减少员工故意从事危险行为的风险。不过,最终,在人员和技术之间取得平衡最为重要。风险管理必须积极主动并持续不断,而且它需要信任、透明和协作才能保持这台引擎的运行。这一理念——以人为本,辅以强大的技术——是防患于未然的唯一途径,如果事情真的发生了,这也是侦测问题并快速有效应对的唯一途径。
布雷特·阿瑟诺(Bret Arsenault)| 文
布雷特·阿瑟诺是微软的首席信息安全官