Home / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 人对今日资讯保安的影响

人对今日资讯保安的影响

托马斯Lenzenhofer
作者: 托马斯Lenzenhofer, CISA, CISM, CDPSE, CISSP, ISO 27001 IA
发表日期: 2022年4月22日

有很多关于网络安全问题(其中大多数从业者可能已经意识到)甚至潜在解决方案的文章, 因此,花点时间来反思这些年来信息安全状况的变化也许是有益的. 安全挑战——应对的方式, 解决这些问题的过程, 试图解决这些问题的人似乎都在重复自己,没有任何根本的改变.

毫无疑问, 大多数人会同意组织, 政府, 整个社会都依赖于互联网及其所有相关技术, 服务, 现在比以往任何时候都更方便. 再加上COVID-19大流行引发的向混合劳动力的转变, 在过去的几十年里,威胁形势发生了变化,从技术角度来看,各种各样的产品和解决方案已经进入市场,以应对新的和越来越多的威胁.

安全专业人员多年来一直努力在组织中推动一种更具安全意识的文化, 员工与日常生活. 除了, 政策和流程已经发展,组织现在必须遵守越来越多的法规,并试图使自己与众所周知的框架(如国际标准化组织(ISO)标准ISO 27001)保持一致. 而是人的“人”成分, 流程和技术(PPT)三位一体仍然是实现良好安全结果的最大障碍.

当然,有人可能会争辩说,人们也会随着时间的推移而学习和进化——在某种程度上,他们确实如此. 但是,人类的一些基本特征使得超越某一点似乎是不可能的. 作为业务运作的一部分,组织必须处理许多复杂的因素, 比如竞争方面造成的时间压力, 资金和/或资源不足, 缺乏知识, 领导能力薄弱,甚至组织文化不合适, 举几个例子. 这些因素多年来没有改变. 如果说有什么不同的话,那就是它们变得更糟了.

考虑一个组织或它的客户. 如今,很难找到一家澳门赌场官方下载的员工声称他们有足够的时间来做好自己的工作, 他们有足够的人手, 总是有足够的资金来购买新设备和, 整体, 这些年来情况有所改善. 虽然最近越来越多的自动化趋势试图解决这些问题, 从根本上, 同样的挑战依然存在.

人的因素值得进一步研究. 当然,有些组织在灌输良好的安全习惯方面比其他组织做得更好. 但从更大的角度来看,需要考虑典型的员工, 而不是IT部门精通技术的成员.

说到安全, 没有安全意识的人可能会觉得他们没有时间做这件事, 他们对此不感兴趣, 或者他们根本不想知道. 员工可能会问自己:“如果坏事发生在别人身上,而不是我,我为什么要关心??“换句话说, 有缺陷的信息安全可以归因于那些无知的人(因为他们不想花时间学习安全性和/或对安全性不感兴趣)或自满的人(因为他们认为坏事只发生在别人身上,而不是他们自己或他们的组织)。.

有缺陷的信息安全可以归因于那些无知的人(因为他们不想花时间学习安全性和/或对安全性不感兴趣)或自满的人(因为他们认为坏事只发生在别人身上,而不是他们自己或他们的组织)。.

的确,存在着旨在改变这些态度的各种培训和教育运动, 这是一件好事. 然而, 尽管做出了这些努力, 人们根本不想改变他们对网络安全的态度. 一般员工只参加强制性的, 一年两次的关于工作场所信息安全的在线复习或随机的网络钓鱼意识活动,因为他们必须这样做. 他们可能会认为这很讨厌, 他们只想完成的事情, 而很少注意练习的重要性和目的. Why? 因为员工对此不感兴趣, 没有时间或者没有完全理解它. 这是有可能的,只要员工记得, 该组织从未遇到过与安全相关的问题. 因此,他们不明白为什么他们应该关心.

不幸的是, 无知, 自满和缺乏知识并不局限于典型的员工. 这种态度可以在组织的每一个层次上观察到,包括高层领导. 再加上经营澳门赌场官方下载的日常复杂性和挑战, 很明显,这对信息安全所代表的一切都是适得其反的. 对信息安全漠不关心的潜在后果可能是, 在很多情况下都是这样, 灾难性的. 世界各地的组织和机构都经历过大规模的违规行为,在许多层面造成了严重影响.

考虑一个现实场景的例子,涉及对受影响国家公共卫生保健系统的大型国家机构进行网络攻击后的调查和清理工作. 这次攻击的影响导致全国多家大型医院和许多小型医疗机构被迫恢复到手动和纸质流程,因为他们的许多关键IT系统受到了影响, 在某些情况下, 完全无法接近. 不用说,病人的护理在某种程度上受到了影响. 许多系统花了几个星期才重新上线.

作为遵循审计概念和原则的整体调查的一部分, 一位网络专家在10天的时间里采访了许多来自不同级别和部门的人. 从IT和运营管理开始, 这位网络专家与从事资产管理工作的员工进行了交谈, 风险管理, 信息安全, IT体系结构, 和操作, 除了一些非it员工. 除了这些访谈,网络专业人员还审查了大量文件(例如.g., 安全策略, 网络设计文档, 图)和与内部审计过程和操作过程相关的工件.

虽然大部分的焦点(和指责)都指向了运营团队, 经过大约5天的面试和文件审查, 真正的潜在原因出现了一个更大的图景,而不是袭击本身, 但随之而来的是广泛的破坏.

一长串的缺点显露出来, 这证明了在大型组织中从端到端进行信息安全是多么复杂. 虽然不是一个详尽的清单,但以下是几个关键的发现:

  • 行政领导团队对安全问题重视不够, 部分原因是缺乏知识和理解, 但主要是因为优先考虑和关注的是患者安全,而不是IT安全.
  • IT部门和风险管理团队的一些成员定期向高层领导通报即将发生的威胁和风险因素, 这并没有达到高层领导人所要求的回应. IT管理没有足够的安全知识和/或无法以一种他们可以理解的方式向C-suite级别阐明问题.
  • 多年来从事多个IT项目的架构师几乎没有安全背景和经验, but, 不过, 尽力将安全性整合到新的设计和部署中. 许多这样的项目没有通过设计阶段, 给组织留下老化的基础设施,在许多领域显示出安全弱点.
  • 管理基础设施和安全的业务过程的最佳做法没有得到遵守, 部分原因是缺乏强制性政策, 但很大程度上是因为IT和运营团队缺乏安全知识. 这些团队的人员短缺加剧了这种情况, 影响他们思考和行动的能力,而不是日常的“故障修复”活动.
  • 因为没有首席信息安全官(CISO)在场, 安全经理是组织中唯一具有安全意识的员工,而且这个人缺乏足够的知识和权力来进行必要的更改以改善组织的安全状况.
  • 许多非it员工对此知之甚少, 或者对…感兴趣, 信息安全, 这在很大程度上可以归因于最初入职时培训不足,以及缺乏定期的网络安全意识活动
一长串的缺点显露出来, 这证明了在大型组织中从端到端进行信息安全是多么复杂.

回到员工无知的问题上来, 自满和缺乏知识, 据信,真正造成大规模破坏的并不是攻击本身, 而是以下几点的结合:

  • 组织各级安全意识和知识不足
  • 行政和高层领导的无知和自满
  • 缺乏专门负责安全的行政领导职位
  • 资源和安全知识不足,特别是在运营团队中
  • 内部政治导致的议程对整体安全态势起反作用
  • 缺乏安全政策和程序,包括其执行, 如何应对网络攻击的具体流程

结论

对于上述问题,目前还没有一个已知的完整的解决方案,可能根本就没有. 对于安全专业人员来说,最好的选择是继续对组织的各个级别的员工进行培训. 在考虑安全性时, 许多人立即想到所有可以购买的产品和解决方案,以保证组织及其人员的安全. 然而, 如果人们继续低估无知的破坏性,即使是最好的技术也不会有效, 自满和缺乏知识可以而且将会越来越严重.

组织无法理解的是,安全漏洞并非源于单个员工的错误操作, 缺少的一个操作策略, 不了解安全或没有资金支持的产品的高级领导. 真正的危险在于所有代表组织最大风险的因素的组合. 在技术领域, 人们常说,可见性是理解安全环境中正在发生的事情的关键. 人们无法防范他们看不见甚至不知道存在的东西. 像这样, 许多供应商的目标是设计能够完全了解澳门赌场官方下载所依赖的网络和应用程序的所有领域的解决方案. 通过从网络和应用程序堆栈中的许多点收集数据,可见性成为可能. 数据允许可见性和, 反过来, 帮助建立一个更大的关于安全形势的图景.

应该使用类似的方法来处理整个组织中所有级别的安全的人为方面. 在技术领域, 进行安全态势评估, 审查和更新政策, 评估业务实践和程序, 员工接受过培训和教育, 人们还制定了提高意识的计划和教育活动,以传达如何成为一名优秀的数字公民. 这些都是重要和相关的做法,应该继续下去. 但是,尽管它们是很好的起点, 从可见性的角度来看,拥有许多单独的点解决方案而没有将它们绑定在一起的元素是不可能完全有效的.

组织和他们的许多领导者缺少的是在PPT三元组的人员背景下对他们的安全态势的端到端视图. 各组织应在信息范围内对这一领域进行定期评估, 网络与网络安全, 就像在IT领域一样. 领导者应该问的基本问题是:“如果明天我们的业务受到严重的网络攻击, 我们(包括所有员工和资源的整个组织)准备得如何?”

此外,一个组织应该问自己一些关键问题:

  • 领导团队是否具备所需的经验, 知识, 对澳门赌场官方下载范围的安全有理解和兴趣?
  • 领导团队是否给予安全适当的关注,并了解不这样做的后果?
  • 是否有一个以安全为重点的执行领导在整个组织中推动安全?
  • 组织是否了解其所有资产的价值以及与这些资产相关的风险等级?
  • 组织是否了解其资产面临的相关威胁, 人, 资源和澳门赌场官方下载本身?
  • 一般的澳门赌场官方下载文化是什么, 尤其是在信息方面, 网络与网络安全?
  • 各种IT和运营经理及其员工在安全方面的技能和经验如何?
  • 关键的IT、安全和运营团队是否有足够的资源来应对攻击?
  • 是否有适当的政策和程序来应对网络攻击,并且所有利益相关者都意识到这一点?
  • 做员工, 尤其是在更广泛的IT部门, 了解并遵循响应攻击的流程以及由此产生的任何业务影响?

其中一个或多个领域的弱点严重削弱了澳门赌场官方下载的安全态势, 哪些会对组织及其员工造成严重后果. 为了解决这个问题,组织必须对他们的人员姿态形成一个整体的看法. 只有这样,澳门赌场官方下载才能确定自己的优势,减轻自己的弱点和员工在所有角色和所有业务部门所带来的风险. 只要人的方面继续被忽视, 安全专业人员将年复一年地继续做同样的事情.

编者按

想了解更多作者对这个话题的看法,请收听“人对资讯科技的影响ISACA的一集® 播客.

托马斯Lenzenhofer, CISA, CISM, CDPSE, CISSP, ISO 27001 IA

是思科澳大利亚公司安全服务部的业务发展经理吗. 在他30年的IT生涯中, 他曾在多个大洲的国家工作,并担任过网络支持工程师等多个职位, 安全解决方案架构师, 澳门赌场官方下载安全架构师, 在过去的20年里,我们完全专注于安全.