Bob Kress
根据我们的研究,虽然安全领导者可能有效减少网络攻击在他们自己围城中的影响,但董事会成员应该意识到恶意内部人员仍然是最重要的两个威胁之一。这是一个事实,可以作为所有企业的及时提醒 - 保护自己免受内或外部伤害。
根据埃森哲第九次网络犯罪年度成本研究报告,企业在网络钓鱼和社会工程攻击方面经历了相当大的增长16%;勒索软件增长15%;被盗设备,仅在一年内增长了13%。这些都是令人关注的领域,这使得人的风险在企业网络安全防御方面仍然是最薄弱环节的论点具有可信度。71%的人在过去几年中使用鱼叉式网络钓鱼,55%的垃圾邮件率和6.69亿新的恶意软件威胁容易受到攻击群体的攻击,一时间集中注意力可能会造成极大的破坏性。到2020年,2000亿的物联网设备前景意味着这个漏洞只会让您的公司及其员工变得更糟。
今天,安全功能在很大程度上是集中的,当新产品,服务和流程(所有这些都涉及某种网络风险)正在开发时,其工作人员往往被排除在外。这种孤立的方法可能会导致整个企业缺乏问责制,并且错误地认为安全并非每个人都有责任 - 在我们的调查中,只有16%的CISO表示员工需对网络安全负责。
在细分层面,即使企业经常对其弹性进行压力测试,人们也可以使红色和蓝色团队练习无效化。他们可能很难像真正的对手一样行事,或者在持续不断的士气低落的攻击之后发展出“蓝队疲劳”。更糟糕的是,他们可能会发展出有害的分歧,并且在压力测试之前,期间和之后都无法有效沟通。
因此,董事会应承担起让高级管理人员担任首要责任的任务,将整个企业网络安全作为优先事项。
五种内部风控最佳实践
为了解决内部威胁并培养问责文化,董事会应确保首席执行官团结人力资源,人才开发,法律和信息技术团队,与安全办公室和业务部门密切合作。以下是董事们可以建议其企业从内部控制此风险的五种方式:
1.培养和加强安全行为。新的工作安排 - 更多地使用承包商和远程工作 - 使员工培训的需求更加迫切。然而,在考虑安全性的情况下进行员工培训思考和行动是网络安全预算中资金最不足的活动。沉浸式沟通和游戏化学习可以创造持续的行为改变,从而提高安全性。
2.建立网络安全标杆。网络安全标杆不仅可以充当整个企业的安全倡导者,还可以向中央团队提供有关安全计划有效性的反馈。与许多其他文化方面一样,董事会可以成为网络安全标杆。
3.奖励“安全第一”行为。在我们的调查中,只有41%的公司表示他们为致力于网络安全的商业领袖提供奖励。奖励是董事会可以用来刺激整个企业所需的网络安全卫生习惯的一种工具。
4.保持强大的防御能力。除了加密和权限管理等标准数据保护技术之外,用户和实体行为分析(UEBA)系统还可以标记可疑的员工活动,例如可能5.表明犯罪意图的异常文件传输。询问安全团队是否已实施这些实践。
帮助人们做好准备。建议安全团队通过运行和测试端到端的有效性来做好准备。他们的实践应该是持续和警惕地监控活动,使用复杂的技术,例如用于访问控制的微分段 - 保持安全的敏感性,以便在发生破坏时实现损害限制。
建立安全第一的意识
人们通常不会意识到网络安全威胁,认为他们已经受到现有程序的保护,或者低估了安全漏洞的影响。虽然没有一种行为能够让人们保持在线安全,但人类可以有效解决这些漏洞。
埃森哲开发了一项人体脆弱性评估 - 一种基于数据中心方法的诊断工具。它确定了帮助人们保持安全的最优先领域,改善其弱点所需的即时行动和干预措施,并提供了跨行业或地区进行比较的基准。
如果您希望完全保护您的高价值资产,请牢记“人员维度”。当更好地监控和管理安全行为时,人们可以成为解决方案的一部分,而不是问题。
https://blog.nacdonline.org/posts/why-humans-are-still-securitys-weakest-link
声明:本文来自CyberRisk赛伯瑞斯克,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
