對於負責監管組織內資料保護以及資訊安全的人來說,”員工因開啟郵件中的附件感染勒索病毒而影響商務”是一種很熟悉的故事情節。
這樣的新聞頭條並不新鮮。即使是最先進的安全防護技術,面對鎖定對象的目標式駭客攻擊也不可能是萬無一失。只要員工開啟一個惡意附件或是點了一個有害連結,全公司的網路安全便暴露在風險中。
因為這些行為如此簡單且普遍 – 打開電子郵件,連接到網站等等 – 企業加強網絡安全比以往任何時候都困難。
資訊安全最脆弱的環節:員工
一直以來,員工是企業資訊安全中最脆弱的一環現在,CIO的撰稿人Clint Boulton指出,這不只包含基層員工,還包括了監督和管理階層。駭客持續利用先進的技術騙過員工並進行攻擊。
此外Boulton發現,許多員工會陷入虛假的網路安全感,當採用了先進的資料保護技術以及防護工具時。
當然,先進的防護解決方案對抗資料外洩或是資料盜取是非常有用的,但是企業還需要投入必要的時間和精力進行適當的安全培訓,而不只是單純依賴資安防護軟體或是解決方案。
透過強健的員工資訊安全培訓,企業可以降低員工為駭客開啟大門的風險。
“那是我們目前看到的一個大問題” Theodore Kobus, BakerHostetler 隱私以及資料保護主管告訴Boulton說。公司真的需要關注這個關鍵的議題以便在攻擊的初始階段就可以進行攔阻。
目前的統計數據支持這一論點:總體而言,網絡釣魚,駭客攻擊和惡意程式導致了大多數網絡安全事件,佔43%。據Boulton報導,其中32%來自人為疏失,18%來自設備遺失或被盜。
在2016年,網絡釣魚,駭客和惡意程式佔所有網絡安全事件的43%
由於員工自身行為導致的問題比例如此之高,企業再也無法忽視用戶在整體網路安全中的關鍵作用。 適當的培訓,包括需要注意的可疑事件以及對當前駭客技術的認識,應該成為任何企業組織的首要任務。
進行員工的資訊安全培訓的四個重點
企業組織可以將下列提示以及最佳實務融入到員工的培訓中以達到最佳成效。
1.確保員工了解重要性
正如安全顧問和作者Anthony Howard對BitSight Tech所說,在培訓中最重要的其中一點是確保員工了解流程的重要性。雖然員工可能意識到目前網絡安全領域發生的攻擊類型,但IT主管和其他部門經理必須讓員工了解培訓和適當安全措施的重要性。 繼續閱讀
