最近, 我们的审计团队就疫情期间网络犯罪数量的增加以及应对的最佳方式进行了辩论. 我们的一名团队成员认为,在对网络威胁进行审计时,最容易被忽视的因素之一是人为因素.
在一些最成功的攻击中,威胁行为者利用了人类的懒惰和易犯错误. 新冠肺炎大流行也增加了人为因素的风险,因为它彻底改变了各地的工作环境. 问题是,当员工在办公室和家里分头工作,或者干脆呆在家里的时候,澳门赌场官方下载该如何保护自己免受网络攻击?
许多人认为,在挑战中投入技术可以解决问题. 在这种情况下, 实现过程自动化, 包括人工智能技术的使用, 能帮助消除经常不可靠的人为因素吗, 从而产生更有效和一致的IT操作. 但这并不总能解决问题. 一个组织的网络和数据将不会是安全的,除非个人服从明确, 良好定义的安全策略和实践, 参加日常网络安全培训和演习.
克服网络空间人为错误的一些方法包括:
- 社会工程意识——在所有员工中培养社会工程意识变得至关重要.
- 供应商的安全-对于组织来说,了解与他们合作的外部供应商的安全性是至关重要的, 特别是在网络安全方面.
- 变更检测软件-变更检测软件可用于将不受欢迎的修改恢复到原始状态,无需任何停机时间.
- 定期审核和分析-定期对关键领域进行审计,并对这些报告进行分析,这对确保组织的安全大有帮助.
有助于将人为错误和自动化风险降至最低的几个最佳实践包括:
- 组织应确保所有关键领域都实施了数字取证,并定期对数字取证准备情况进行评估.
- 组织应分配至少5%的年度IT预算,以改善针对网络威胁的防御机制,并确保他们拥有必要的设备. 有效的安全措施比数据泄露的成本要低.
- 组织应定期对信息安全实施进行规划,并坚持规划.
- 所有关键利益相关者都应该接受有关个人身份信息(PII)数据和财务数据保护的教育, 并意识到如何防止网络钓鱼攻击.
- 所有远程访问都应该通过特权身份管理解决方案(PIMS)路由,并进行记录.
- 组织应该控制, 跟踪和审查谁有权访问哪些数据,并确保每个员工都有自己唯一的密码,他们不会与任何人共享.
- 组织应该为所有应用程序设置多因素安全策略和严格的密码策略.
未来的网络安全世界需要对人类思维进行深入的研究和理解. 以人为本的网络安全框架将人置于网络安全和信息安全实践整合的中心, 根据生物精神病学和社会努力,设计元素和技术以减少行为风险.
防范网络安全中人为因素所产生的威胁的实用建议包括:
- 识别和消除内部威胁
- 创建减少人为错误的用户环境
- 定期预测和减轻用户造成的损失
- 为员工提供合适的工具来使用强密码, 启用双因素身份验证, 使用电子邮件过滤器,轻松报告威胁和错误
- 提供实际的, 定期对所有参与关键流程的员工进行参与和激励培训
- 确保所有关键区域都有一个关闭开关
和其他风险一样, 人的风险不能完全消除, 但是组织可以通过意识到并遵循最佳实践来尽可能地将其最小化.
编者按: 想要进一步了解这个话题,请阅读Gopikrishna Butaka最近在《澳门赌场官方下载》上发表的文章, “网络空间安全吗??” ISACA学报,第5卷,2021年.
ISACA期刊今年创刊50周年! 和我们一起庆祝吧,别忘了你还可以通过访问你的 偏好中心 选择加入!
