In 1898, 《澳门赌场官方软件》 发表了一 有趣的文章, “一个老骗子复活了,的帖子,哀叹越来越多的美国人成为这个30年前的骗局死而复生的受害者. 在这个著名的骗局中, 骗子告诉受害者他被关在西班牙的监狱里, 让他无法拿到一大笔现金. 去取回战利品, 受害者不得不拿出一小笔钱,以换取未来的巨额赏金. 一旦受害者屈服于这个要求, 骗子会要求更多的钱,直到骗局暴露为止.
一个多世纪过去了,这个顽固的老骗局的效果似乎并没有减弱. 网络骗子继续利用人类的弱点,以外科手术般的精确度劫持高价值的支付, 阻断对关键系统的访问,导致澳门赌场官方下载破产. 根据 研究在美国,95%的网络安全漏洞是由人为错误造成的.
一些组织正在通过投资数百万美元用于技术防御来应对日益加剧的网络威胁. 但是,如果这些组织一直忽视其最薄弱的环节——人为因素,它们将永远无法实现网络弹性.
根据我的经验 培训网络领导者 来自几十个国家, 网络弹性组织把人们的心和思想, 而不是技术, 是他们网络安全战略的核心. 过度依赖技术不仅浪费金钱,还会产生一种免疫的错觉.
打造一支精通网络的员工队伍并不一定是一件复杂的事情, 但是,越来越多的源于人为欺骗的数据泄露事件证明,大多数组织在这方面仍然是错误的. 组织可以通过四种不同的方式来推动网络文化:通过在高层设定正确的基调, 营造心理安全感, 利用技术和游戏化网络安全培训.
- 在高层定下正确的基调
所有精通网络的组织都有一个共同点——高层基调强硬. 他们的最高领导角色模范期望的态度、信念和实践. 它们还将网络转型与更广泛的业务目标联系起来,并坚定地表明,网络弹性是支撑业务增长和客户信任的战略问题. 当员工看到高管们表现出对网络弹性的坚定承诺时, 他们很可能会效仿, 在整个组织中产生连锁反应.
创建健康的网络安全文化需要时间,但这是不可避免的. 杰弗里·R. 伊梅尔特,通用电气前首席执行官, 说, “如果不改变澳门赌场官方下载文化和既定的做事方式,就不可能实现转型.“首先,高管们要清除为网络入侵创造滋生土壤的破坏性做法.
以下是有毒网络环境的三个典型迹象:- 项目团队经常发布带有易于利用的安全漏洞的解决方案. 他们优先考虑上市速度和成本,受到“利润高于一切”的高压文化的推动.
- 高管们口头上支持网络安全,批准了数十项政策豁免, 将敏感数据下载到未加密的设备, 或者与审查不严格的供应商结成战略联盟.
- 首席信息安全官(CISO)缺乏组织地位, 网络安全的资金严重不足. 可以预见的是, 网络安全人员总是压力重重, 感觉不被赏识,很难在自己的岗位上坚持下去.
- 营造心理安全感
另一个重要因素是促进心理安全. 员工必须自由、公开地质疑根深蒂固的规范,提出担忧,而不必担心负面影响. 心理安全现在比以往任何时候都更加重要, 大多数员工远程访问高价值系统,并努力应对与covid -19相关的焦虑.
为了把它做好, 管理层必须明确向员工保证,允许他们提出高风险的要求, 比如修改客户的银行信息, 不管它们的来源是什么. 鼓励员工从错误中吸取教训的组织会发现报告的事故和未遂事件急剧增加. 这给了安全团队足够的时间在威胁失控之前消除它们.
- 利用技术将人为错误降至最低
但网络意识项目并不是灵丹妙药. 无论你多么努力, 总会有一个不起眼的员工点击了一个武器化的网络钓鱼链接,不小心打开了一个后门,让威胁参与者破坏高价值的系统. 以下是利用科技加速网络文化转型的五种方法:- 对所有付款处理执行双重批准. 欺骗两个人比欺骗一个人要难得多. 也, 鼓励前线员工熟悉顾客的习惯,以增加发现可疑要求的机会. 例如, 因为所谓的客户在国外“被困”或“被扣为人质”而要求紧急汇款应该引起警惕.
- 部署商用密码管理器以提供安全, 为员工提供无障碍的数字体验. 密码管理器是加密的保险库,用于存储和记住用户在各种应用程序或网站上的凭据. 因为用户只需要记住一个主密码, 密码管理器既安全又方便.
- 强制使用多因素身份验证(MFA)来访问高价值的应用程序, 事务或用户从不受信任的位置访问澳门赌场官方下载网络. MFA需要用户知道的信息(例如用户名和密码)与用户拥有的信息的组合, 例如一次性密码(OTP)或用户身份(面部或指纹识别). 根据微软的说法, MFA可以将身份泄露的风险降低约99%.与单独使用密码相比,这一比例为9%.
- 维护几十个异常复杂的密码对大多数用户来说简直是压倒性的. 不出所料,到 50%的服务台 电话与忘记密码有关. 组织可以通过加速单点登录(SSO)项目来消除这个负担. SSO允许员工使用一组凭据(如用户名),从而减少了攻击面,改善了数字体验, 密码和MFA令牌)来访问多个本地和基于云的应用程序.
- Gamify网络安全
大多数人宁愿在邮局排队, 提交纳税申报单或去看牙医,而不是参加强制性的安全培训. 但是,尽管他们无效, 大多数公司继续把繁琐的合规模块塞进员工的喉咙. 加剧痛苦, 这些强制性的安全培训模块大多充斥着负面信息, 如不遵守严重后果. 基于遵从性的安全培训的积极效果很少会持续一两天.
但网络安全意识不应该很糟糕. 有远见的组织正在通过将游戏化概念纳入其安全培训计划来扭转这些长期以来的刻板印象. 商业领袖使用游戏激励——比如积分, 在线徽章和其他奖励——激励员工积极接受网络安全价值观.
例如, 商业领袖可以鼓励软件开发人员通过奖励始终交付无缺陷代码的开发团队,将网络安全尽早纳入系统开发生命周期. 相反, 每当开发团队发布带有严重安全缺陷的代码时,就会扣分. 类似的, 前线团队可以因保持基本的网络安全卫生而获得积分, 例如,在与外部各方共享个人身份信息之前对其进行加密.
让安全变得有趣可以激励员工根据自己的意愿接受安全原则,而不是将其视为必要之恶. 它还显著降低了安全成本, 因为在新系统中添加控件比在实际环境中修复漏洞要便宜得多.
期待
不像一些组织从一种新兴技术转向另一种, 具有网络弹性的澳门赌场官方下载采取不同的行动,把人放在他们所做的一切的中心. 他们 创造深刻内化 相信保护澳门赌场官方下载免受网络威胁是每个人的责任, 从董事会到一线人员. 他们还承认,打击网络威胁需要多个过程的结合, 技术和人力投资, 但最关键的因素是修复人类的弱点.
你可在此下载一份全面的首席信息安全官手册-《澳门赌场官方软件》: http://hub.cyberleadershipinstitute.com/posts/ciso-playbook-developing-a-cyber-resilient-culture
编者按: 欲了解更多关于网络弹性和网络成熟组织的ISACA资源,请了解ISACA的相关信息 CMMI网络成熟度平台.
作者简介: 菲尔松是网络领导力研究所的首席执行官, 这家澳门赌场官方下载已经培训了来自超过38个国家的网络领导者和高管. 他也是畅销书《澳门赌场官方下载》的作者, 以及2017年ISACA全球迈克尔·坎格米最佳文章/书籍奖得主.
