大多數(shù)首席信息官[注]都能夠很好地保護(hù)網(wǎng)絡(luò)、加密敏感數(shù)據(jù)，并保持客戶信息的安全，但他們可能忽略一個(gè)明顯的漏洞：最終用戶。

[[130665]]

讓最終用戶安全地思考

網(wǎng)絡(luò)教育提供商Cybrary安全專家兼主題專家(SME)Anthony Harris表示：“你已經(jīng)投資了尖端的安全軟件，你擁有很棒的IT人才，但你也要考慮最終用戶。營(yíng)銷人員、銷售人員、管理人員等最終用戶通常完全沒有準(zhǔn)備好應(yīng)對(duì)網(wǎng)絡(luò)釣魚詐騙、社會(huì)工程計(jì)劃，他們往往是造成數(shù)據(jù)泄露事故的原因。”

安全解決方案供應(yīng)商Clearswift公司產(chǎn)品高級(jí)副總裁Guy Bunker表示，用戶是你最薄弱的環(huán)節(jié)，但他們也可能成為你最大的資產(chǎn)。

Bunker表示：“對(duì)于安全，用戶既是最大的財(cái)富，也是最薄弱的環(huán)節(jié)。用戶‘知道’流程方面正在發(fā)生什么，以及遵守和被忽略的政策，他們可以是評(píng)估安全措施有效性的‘晴雨表’。”

Bunker稱：“對(duì)于不安全的流程，或者沒有預(yù)期安全的流程，尤其是如此。然而，用戶必須接受教育。例如，他們必須明白很多類型的惡意軟件安裝在應(yīng)用程序中，需要進(jìn)一步的操作才能實(shí)現(xiàn)攻擊，例如，當(dāng)他們點(diǎn)擊一個(gè)鏈接，然后系統(tǒng)要求安裝某種軟件，這很可能是惡意軟件，所以他們需要將此事報(bào)告給IT或者遵循明確定義的流程。”

教育是關(guān)鍵

加強(qiáng)安全措施的最有效方法之一是讓最終用戶知道他們?cè)谄髽I(yè)安全最佳做法中的角色。Cybrary公司的Harris目前正在開發(fā)一套課程來教導(dǎo)最終用戶如何識(shí)別最常見的威脅、在BYOD[注]設(shè)備使用高強(qiáng)度密碼以及如何預(yù)防常見的安全泄露事故。

Harris稱：“我們主要專注于教育用戶如何應(yīng)對(duì)日常持續(xù)性威脅，我們希望最終用戶知道網(wǎng)絡(luò)釣魚電子郵件是什么樣子，以及他們可以如何檢查出這些社會(huì)工程策略的合法性。最終用戶應(yīng)該積極參與企業(yè)的安全策略，而不是在他們不明白這些最佳做法背后的原因時(shí)盲目聽從命令，”

安全溝通

有效的安全教育應(yīng)該是雙向的。企業(yè)需要進(jìn)行定期的溝通以及信息共享，特別是圍繞有針對(duì)性攻擊的信息共享。圍繞安全的這些溝通不必是大型的會(huì)議，安全對(duì)話應(yīng)該是日常業(yè)務(wù)的一部分來幫助最終用戶了解安全是每個(gè)人都應(yīng)該關(guān)心的。

“你可以定期發(fā)送電子郵件、公告或簡(jiǎn)報(bào)，或者提供更為正式的計(jì)算機(jī)或教師指導(dǎo)的教育和培訓(xùn)。你還可以提出個(gè)人化以及使用他們家庭生活的建議，”Bunker稱，“把媒體上刊登的報(bào)告(特別是成功的網(wǎng)絡(luò)釣魚攻擊等)作為實(shí)例，來幫助員工識(shí)別潛在的攻擊。”

可靠的戰(zhàn)略

安全解決方案提供商Blue Fountain Media公司Mike Ricotta稱(+本站微信networkworldweixin)，教育和培訓(xùn)還需要輔以強(qiáng)大的戰(zhàn)略和流程來應(yīng)對(duì)威脅。

“適當(dāng)?shù)陌踩珣?zhàn)略是很好的開端，但執(zhí)行和維護(hù)最佳做法始終是運(yùn)營(yíng)人員的職責(zé)，”Ricotta表示，“通常情況下，企業(yè)的漏洞不需要大量人才來維護(hù)，有時(shí)候只需要確保你更新了最新軟件。由于社會(huì)工程仍然是入侵的主要方式，企業(yè)可以通過內(nèi)部流程、程序和權(quán)限來限制‘人為錯(cuò)誤因素’。”

技術(shù)是最后一道防線

當(dāng)然，世界上所有的教育不都是萬無一失的解決方案。總是可能出現(xiàn)這樣的情況：最終用戶點(diǎn)擊他們不應(yīng)該點(diǎn)擊的鏈接，或者安裝惡意軟件或激活病毒。企業(yè)應(yīng)該部署一個(gè)計(jì)劃來快速報(bào)告、發(fā)現(xiàn)和消除這種問題，以確保數(shù)據(jù)和信息的安全性。

Bunker說道：“確保你的最終用戶知道在數(shù)據(jù)泄露事故發(fā)生時(shí)打電話給誰以及如何報(bào)告數(shù)據(jù)泄露事故，因?yàn)榧词鼓惚M了最大努力，這種事故還是會(huì)發(fā)生。這個(gè)過程不一定很復(fù)雜，應(yīng)該類似于消防演習(xí)，人們知道怎么做。”

最后，教育還需要結(jié)合技術(shù);用戶可能是第一道防線，而技術(shù)則是最后一道防線。企業(yè)應(yīng)該部署高級(jí)防病毒、反垃圾郵件和自適應(yīng)數(shù)據(jù)丟失防護(hù)解決方案來防止所有渠道的重要信息丟失。

Bunker表示：“教育、流程和技術(shù)相結(jié)合的解決方案可以幫助企業(yè)最大限度地減少信息安全風(fēng)險(xiǎn)。凡事預(yù)則立。”