技术是完成公司目标的驱动力。云计算的迅速普及以及移动设备和应用程序的广泛应用,使得技术从简单的辅助作用渐渐转变为公司日常运营和应对未来挑战的重要手段。
技术的重要性日益增加,安全问题也就随之而来。各种规模的公司始终将安全性作为其所有技术问题的首要任务。显然企业貌似知道安全实践的重要性,但他们采取了正确的步骤吗?
公司有充分理由担心,网络犯罪的威胁是真实存在的并且成为一旦危险降临后果不堪设想。
在“2015年网络犯罪成本研究”中,Ponemon研究所发现针对政府和商业企业的网络攻击越来越密集,并且十分严重。单个网络犯罪的平均成本为770万美元。虽然这个数字受到大企业的影响,但小企业的人均成本(1,388美元)远远高于大公司的人均成本(431美元)。
大型或小型,公共或私营部门,所有组织都必须采用全面的网络安全方法,这种方法建立在三个关键要素的基础上:风险评估,新型安全工具和人力资源。
评估风险并不是企业的新概念,特别是在具有强大项目管理思维的企业中。但现在是时候让更多的组织参与并对其安全实践进行严格的分析。
典型的分析活动包括确定风险的发生的概率,估计潜在影响以及确定解决方案。方案设计所涉及的时间和精力与概率和影响程度直接相关。高概率/高影响风险需要比低概率/低影响风险更强大的方案。
防火墙可能不再是一个完整的安全解决方案,但它们仍然是安全防备的关键部分。公司可能需要更新防火墙,因为它们的功能已从过滤流量演变为限制流量。
其他需要考虑的新安全工具包括数据丢失防护(DLP)技术,该技术可跟踪数据以监视不当行为; 身份和访问管理(IAM)可识别各个应用程序中的用户并为其提供适当的访问权限。
CompTIA和其他组织的研究一致表明,安全漏洞的主要原因是员工的人为错误,他们要么不遵守政策,要么没有接受过提醒他们潜在安全威胁的培训。
但是,公司常常忽视每天在办公室内存在的风险。根据2015年10月CompTIA委托对美国1200名全职工作人员进行的调查,题为“网络安全:了解员工在工作场所的网络安全习惯 ”,45%的人表示他们没有接受过任何形式的网络安全培训。我们不能指望员工 - 第一道防线 - 在没有为他们提供知识和资源的情况下安全行事。
使公司面临的网络安全挑战更加复杂的是,他们正在与多个年龄段的员工进行沟通。婴儿潮一代,X世代和千禧一代都给公司带来了独特的安全挑战和风险。例如,在过去两年中,42%的千禧一代的工作设备被感染,而所有员工的这一比例为32%。年龄也会影响安全意识。46%的千禧一代熟悉双因素认证,而婴儿潮一代只有21%。
随着新员工涌入员工队伍,组织需要采取额外的预防措施,并确保他们接受有效的培训。公司不能将网络安全培训当做一个形式,也不能甩锅给给IT部门。对于整个公司的所有员工来说,这都是一项不能间断的事情。
没有适当的人为行动和干预,最好的安全技术产品和最全面的政策和流程将无法起效。在整个组织中,从前台的接待员到首席执行官,传播网络安全意识,知识和培训至关重要。否则,公司将面临成为下一个网络安全受害者的风险。