在网络安全中,人是最薄弱的环节。很多企业最大的安全漏洞是在管理和文化方面,因为这些是人类交流的产物,而非技术的产物。
根据普华永道2016年《全球信息安全调查》显示,仅有53%受访者表示他们为员工开展过安全意识教育活动。
我们建议企业继续改进安全策略,为不断增长的网络安全风险做好准备。安全策略应包括实施强有力的循环控制,以识别新的内部风险并提高安全控制。
将网络安全融入到物联网这样的新技术规划当中同样重要。除了调整重点区域的安全策略之外,还要评估最新的网络法律法规中可能存在的差距。
但仅有技术安全控制措施并不足以提高网络安全。聪明的企业一直懂得,在安全方程式中,人的因素是至关重要的。
很多企业正在扩充主要高管和董事会的职能,以加强网络风险的沟通,并帮助建立更加精细、更有弹性的网络安全功能。他们也正在给高管和员工开展网络安全意识的教育活动,内容涉及网络安全的基础知识和人性弱点,如鱼叉式网络钓鱼这种成功的攻击技术。
对于黑客而言,利用社交工程技术获取机密信息,通过操纵某企业中的合法员工透露敏感信息,或者让他们做一些违反公司政策的事,这种现象并不少见。
因此,树立企业内部的安全意识,维持高水平的安全警戒,以降低安全风险是至关重要的。
没有什么比高管设定网络安全十分重要这个基调,并且个人(包括高层和中层管理人员)都将为自己的行为负责,更具影响力了。企业高管必须提升信息安全的性能和限制。如果连公司高管不相信,其他人又为何要遵循呢?
尽管设定基调并不会击退单一的企业外部或内部的攻击,但有了企业高管的支持,安全控制措施能够更有效地保护企业。
有了这一支持,企业中所有必须完成的活动便都有了目标,有了方向,更增强了企业的力量。缺乏高管的支持定会招致损失,甚至是更大的风险。
对于一个企业而言,提高安全意识的关键是与企业所有人员沟通存在的威胁和可用的对策。各级管理人员,特别是中层管理人员的判断,对企业网络安全来说非常重要。
关于作者: 萨缪尔·辛恩(Samuel Sinn) 是普华永道中国网络安全服务合伙人。
(译者:张芸)
