最近迈克菲就“用户本身对安全带来的威胁与影响” 话题发起了 #SecChat的Twitter线上讨论活动。我们得出了一个结论:无论安全技术变得多么先进,用户始终是企业安全计划中最薄弱的一环。因此,我们就如何应对用户这最薄弱的一环,以及企业如何优化技术解决方案和策略来缓解用户威胁所带来的风险这些话题进行了讨论。
安全的技术因素
一开始,我们首先询问参与者常见的“最薄弱技术环节”是什么。有参与者认为劣质的安全应用程序是最要命的。其中有人补充到:应用程序设计者毫无风险意识,或者根本没把安全视为问题。而大家普遍认为:将特定技术视为“最薄弱环节”是不负责任的。任何技术,无论多么先进,能否有用,都取决于实施它们的人。
接着我们的讨论发生了转折,有参与者提出,很多人之所以不愿意去制定安全策略,只是因为安全策略的制定并非易事。那么作为IT 团队,如何能更好地使安全与业务目标和用户需求相符呢?我们认为:用户的关注点,始终在其工作本身,而非 IT。只有掌握到这一态势之后,安全团队才能制定有效地策略。
安全策略:透明度问题
其中有人给出了一个建议,即增加透明度。透明度可帮助员工建立起关于违规产生的实际后果的心智模型,从而增加用户认同感。我们认为用户引发的一些最常见问题都因为员工无视其行为带来的后果,而作为安全团队,需要解释策略背后的“原因”,而不是去盲目期待每一个员工的行为符合要求。
在技术层面上,参与聊天的一些人提到了 DLP 解决方案(Data Leakage Prevention,数据泄露防护),因为它们不仅能代替用户保证安全,而且还增加了透明度。DLP 能在用户违规时发出警报, 帮助用户了解其行为的后果并让他们亲临实境的看到遭到攻击后产生的恶果。
之后,我们的话题开始转向电子邮件威胁所带来的挑战,透明度成了关键议题。我们认为在 Web 保护方面,显示拦截的页面并解释拦截原因促使员工关注其活动对整个企业的影响大有帮助。它会令员工不仅关注必须做什么,还关注为什么需要这样做。这是企业文化层面的变革,而非仅仅停留在策略层面。
最后,我们以询问参与者的主要心得来结束了这场讨论。我们都认为:员工安全教育是关键,但必须辅以相关的实际示例, C 级认同感是让计划有效的关键所在。我们应该在确立安全策略的业务价值的同时,以适当的技术解决方案作为策略后盾。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
迈克菲实验室最新威胁报告:移动应用程序漏洞百出
在2014年9月报告中发现的存在漏洞的25款热门移动应用程序中仍有18款未打补丁;不安全的 Web会话使数以百万计的手机用户沦为中间人攻击的目标。
-
迈克菲推出全新安全套件为个人用户设备及数字生活提供强大保护
Intel Security旗下迈克菲公司今日公布了其2015年个人用户安全套件,这一全新的安全产品显著增强了安全功能,可为个人用户不断变化的数字生活保驾护航。
-
迈克菲报告:80%企业用户未能识破钓鱼诈骗伎俩
迈克菲日前公布了《迈克菲实验室威胁报告(2014 年 8 月)》。报告显示,钓鱼诈骗仍然是入侵企业网络的一种有效手段。
-
迈克菲报告显示:2014年初移动恶意软件越发“注重诚信”
迈克菲实验室今日发布了《迈克菲实验室威胁报告(2014年6月)》,报告揭示了利用合法应用程序和服务的流行度、功能以及漏洞实施攻击的恶意软件伎俩,包括受恶意软件感染的移动游戏Flappy Bird 的克隆伪装版。