你只和你最薄弱的一环一样强大。在每种情况下都是如此,在组织中更是如此。在人-过程-技术的金字塔中,支撑三合会的人是人,这也是最危险的,尽管是最弱的。薄弱环节显示为错位的数据安全性。
那么,是什么使人类在安全和数据保护方面如此脆弱,尤其是在组织中?为什么安全和数据保护需要人员?进行的一项研究表明,78% 认为端点安全性更多是由于员工的疏忽,并且平均每个组织每月都会遇到9.3内部威胁。研究还表明,90% 组织每月至少面临一次内部威胁。2003年,美国公司因员工未经授权使用计算机而面临4000万美元的损失。
人类谬误还是恶意?
解决网络安全中人的因素的第一步是愿意识别和承认问题。对威胁格局的认识是一个需要填补的重大空白。最近的班加罗尔OTp盗窃案是人类充当最薄弱环节的典型例子。网络欺诈者试图欺骗人们,说他们是从银行打电话来的,并在卡上提供免费升级。在此过程中,欺诈者能够获得所有卡的详细信息以及他们的OTp。在某些情况下,欺诈者还通过SMS向受害者发送了恶意链接,并要求他们单击该链接,这是一种恶意软件社交设计,旨在将受害者的OTp直接发送到欺诈者的系统。
人们因成为这一骗局的受害者而失去了卢比。这些例子指出了这样一个事实,即人们需要意识到他们当前的威胁状况,并准备与之抗争。到现在为止,他们应该能够理解网络犯罪分子攻击而不是落入他们的不同方式。大小公司和企业也是如此。
一些错误可能会使公司付出沉重的代价。但是,预期问题的成本不仅仅是货币价值。不管强大的防火墙,入侵检测系统,加密或防病毒软件有多强,最终控制的是人们。
另一种攻击是针对易受骗员工的知识产权盗窃,如源代码、合同信息、员工详细信息、客户详细信息和其他机密数据的盗窃; 通过加密数据和文件要求赎金; 公司间谍活动或勒索; 损害公司的公众形象; 破坏某些服务,从而造成大规模的重大损害。
第三种攻击是通过社会工程来针对各种垂直领域。社会工程是一种利用人类行为来实现恶意意图的行为。2016年,大约60% 的企业陷入了社会工程攻击。大多数情况下,BFSI,医疗保健,消费者互联网,电信,云服务和电子商务公司 (拥有大量客户的公司) 被视为易受攻击的公司,并且是黑客利用员工疏忽的主要目标。
尽管模糊不清,但安全性的概念很难衡量,也很难量化,尽管在过去10年左右的时间里,用于保护信息和计算机系统的技术对策的篮子肯定已经扩大。网络攻击和数据欺诈或盗窃被列入世界经济论坛第14版 “全球风险报告2019” 的前五名。如今,大多数企业通常仅受到第2代和第3代病毒的保护。数据安全是小时的需要。通过加密数据和文件来保护数据保护,如果员工被认为是最薄弱的安全环节,经过适当的培训,他们可以成为最好的防御层,因为网络罪犯的盗窃可能没有计划。大约35% 的公司表示,员工的流动性是一个很大的因素-笔记本电脑被盗,手机是数据泄露的主要原因之一; 而8% 则将外部攻击视为数据泄露的原因。
减少漏洞
可以肯定的一个方面是对员工的信任。积极进取的员工是组织可以拥有的最佳资产。创建意识,培训和教育,人员风险评估,脆弱性评估和渗透测试 (VApT),员工激励 (奖励和认可),审计,成本效益分析和行为分析研究以正确了解人员,这些减少了风险评估公司。
安全威胁在不断变化,不断演变为最终的漏洞。领导层必须对人类的脆弱性做出反应,并且必须处于类似的发展状态。需要克服障碍,以确保本组织的完整性。不优先考虑主动安全意识或风险评估的企业注定要花费大量资金来减轻丑闻数据泄露带来的公关噩梦。
在那之前,我们只需要意识到,不断地保持警惕,并希望取得最好的成绩。不能有100% 的安全性,我们也无法采取任何措施来防止盗窃和无意盗窃,但是我们可以意识到并增加个人对安全性的努力。如果白宫、北约、国际足联世界杯和奥运会能够成为目标,我们能够保持安全是一个奇迹。