探索中国CIO人才现状 | 第四季调研报告
疏忽/意外事件使内部威胁保护政策处于危险之中
2016-03-23  来源:techtarget

内部员工的恶意攻击通常是内部威胁保护工作的重点,但疏忽和意外事件作为数据安全威胁,却往往被忽视。

技术进步和不断变化的工作环境,迫使企业将信任交到那些处理敏感公司信息的员工手中。商业信息的内部威胁是一个重大问题,企业安全政策严重依赖员工密切遵守管理条例,以确保数据受保护。

Information Security Forum (ISF)的总经理Steve Durbin认为,内部威胁不仅限于恶意员工寻求经济利益。最近的ISF研究发现疏忽和意外事故也会危及内部威胁保护,越来越多成为数据安全事故。在本期问与答中,Durbin讨论ISF的研究发现,和实施内部威胁保护的最佳方案。

ISF的研究发现了哪些与内部威胁相关的结果?最近几年,这些类型的威胁是如何发展的?

Steve Durbin:内部员工的恶意攻击,主要出于经济利益或意识形态原因,目的是偷窃信息,或破坏企业。但是还有其他两种类型,内部员工的疏忽和意外事件。疏忽是指知晓企业数据安全政策的员工:假设我们有一个规定,防止员工向企业外的人员甚至企业内的人员,发送大型文件,比如使用Dropbox。但是这个员工发现,他想要发送对象的电子邮箱有文件大小限制,于是,他们会说,这一次就破例,把文件放在Dropbox,这样对方就可以访问了。

这就是疏忽,知道有一个数据安全政策,但是采取措施避开它,出发点通常是好的。还有意外事件,不管出于什么原因,员工犯了一个错误,发送了错误的信息给不应该收到它的人。他们没有特意避开数据安全政策,没有故意去这样做,只是犯了一个错误。意外事件往往是安全部门最难解决的类型。和我们的成员交谈,问他们企业内的意外事件,他们认为大约30 - 40%的安全事故是由一些个人的意外行为造成的。

这更强调了需要沟通,意识,培训,那些安全部门正在努力的所有事情,并且在过去的一年内花费了大量资金,但仍然没有取得重大成效。

企业能做些什么来保护他们的业务数据,避免这些类型的内部威胁呢?

Durbin:企业必须经过一系列的阶段。首先是评估被处理信息的价值,使他们对于信息的重要性有清晰的认识。他们必须联合业务部门一起做,这不是安全部门单独能做的。一旦完成了评估,你可以进行技术和管理控制。然后我们进入第三阶段,也就是评估访问信息的个人,和他们为什么需要访问这些信息。

以上这些并不能完全解决意外事件。第四阶段,要建立信任。让员工明白他们在访问和保护信息完整性上,所扮演的职责。这取决于不同的部门,不同的职能,但是要从员工角度清晰表明职责,以及从雇主角度清晰表明职责。

我之前所说的那些阶段,评估信息,控制到位,决定谁能够访问信息,都是确保你能够建立和员工之间信任的基础。我们不可能防止所有的意外事件,但是通过提高整体意识,明确不同的职责,你可以期望降低概率,员工在行动前,停下来思考,而不是直接采取行动。

对于内部威胁保护,什么类型的培训被证明最有效,特别是针对那些不知道自己犯错的员工所造成的意外事件?

Durbin:有效的培训,包括进行这一方面的模拟,强调一些事件,以及它们是如何发生的。关键是信息的流动, 我认为这再次强调了要信任员工,并且解释这些事件,发生的根本原因,以及需要注意的事情。

信息的流动肯定会有所帮助。同时,更好地与业务部门互动,明确这些是关键业务问题,而不仅是安全问题。 我们所谈论的一切都不仅是安全问题,这关系到企业如何管理他们的信息,如何保护信息的完整性,以及确保信息在合适的时间出现在合适的地方。很明显,其中也有困难。你必须有相应的企业数据安全政策,流程和步骤,供员工参考,你必须在企业内各级中执行它们。

多年来,我们一直相信安全应该从企业高层开始。鉴于现在的数据威胁数量,你认为企业是否有足够的安全意识?

Durbin:我们看到一些改变。当然,最近的研究显示,各类企业内,C级管理层对于安全的意识有所增加。现在,我不认为有任何企业,不以任何形式或方式在网络中运营。如果现实是如此,那么网络安全必须列入企业最高管理层的议事日程。

当然,还有其他各种各样的原因,我们处理信息,特别是敏感信息的法规和条例的增加,持续聚焦董事会成员的职责。这其中的实际问题:企业必须面对网络对于他们的业务是关键因素,这样一个事实。也许他们保护信息的方式,与股东,客户,供应商交流的方式,需要以网络化的方式刷新,以确保拥有适当级别的安全流程和步骤, 以防止信息意外损失,或失窃,以防信息落入错误的人手里。