數(shù)據(jù)泄露會(huì)愈演愈烈，企業(yè)為此也將投入更多，黑客們會(huì)通過更多途徑獲取敏感信息并以此賺錢。

[[181506]]

從人性的角度看待信息安全問題，如何讓員工對(duì)抗企業(yè)信息安全面臨的風(fēng)險(xiǎn)，如何從培訓(xùn)和教育角度入手,加強(qiáng)員工在安全意識(shí)方面的認(rèn)知。下面是2017年關(guān)于企業(yè)安全意識(shí)方面的5類最佳實(shí)踐與策略。

一、施之所欲

2017年基于網(wǎng)絡(luò)的精準(zhǔn)營(yíng)銷會(huì)有很大躍升，源于用戶行為分析及環(huán)境學(xué)習(xí)在人群中的普及。

Gartner分析師Matthew Cain和Stephen Kleynhans認(rèn)為，環(huán)境學(xué)習(xí)是以算法驅(qū)動(dòng)，基于用戶行為分析客戶化后從而傳遞給用戶的信息。我們遇到的環(huán)境學(xué)習(xí)是日常生活中的，類似電子商務(wù)和視頻播放網(wǎng)站，通過用戶使用行為向其推薦相關(guān)內(nèi)容。

在2017年，會(huì)有更多途徑知道用戶在做什么。這些層出不窮的技術(shù)揭示了更多存在于企業(yè)內(nèi)部有關(guān)行為的風(fēng)險(xiǎn)，同時(shí)也意味著可以將更好的內(nèi)容適時(shí)傳遞給適合的人。安全意識(shí)培養(yǎng)與企業(yè)自身獨(dú)特的風(fēng)險(xiǎn)結(jié)合越緊密就越有效。

二、微學(xué)習(xí)

作為對(duì)抗“遺忘曲線”最可行的方法，微學(xué)習(xí)會(huì)持續(xù)風(fēng)靡，現(xiàn)在是時(shí)候開始了!

簡(jiǎn)單來(lái)說(shuō)，微學(xué)習(xí)是針對(duì)短期內(nèi)、小規(guī)模學(xué)習(xí)內(nèi)容最好的實(shí)踐方式。微學(xué)習(xí)背后的理論假定學(xué)習(xí)者只投入相對(duì)短的精力與時(shí)間。

在實(shí)踐中，微學(xué)習(xí)可以作為企業(yè)培訓(xùn)實(shí)施策略的一種手段。比如，在信息安全領(lǐng)域，如果一名員工沒有妥善保存敏感文件，你可以對(duì)其開展一個(gè)簡(jiǎn)單的微學(xué)習(xí)(播放一則小視頻)糾正過來(lái)。如此看來(lái)，微學(xué)習(xí)能夠在整體學(xué)習(xí)內(nèi)容和實(shí)施中提供更大的靈活性。

為應(yīng)對(duì)這個(gè)新潮流，安全意識(shí)廠商應(yīng)著重提供內(nèi)容覆蓋更廣泛、學(xué)習(xí)方式更多樣的產(chǎn)品給客戶。

三、對(duì)抗“安全疲勞”

2016年最有趣的研究之一是由國(guó)家標(biāo)準(zhǔn)技術(shù)委員會(huì)發(fā)布的，提出我們或多或少已經(jīng)知道的：安全厭倦，這是真實(shí)存在的。

國(guó)家標(biāo)準(zhǔn)技術(shù)委員會(huì)認(rèn)為一般用戶對(duì)實(shí)施安全防護(hù)措施感到厭倦，并且對(duì)他們?nèi)粘Ａ?xí)慣的操作會(huì)威脅自身與企業(yè)感到不可置信。重復(fù)使用同一密碼、任意連接公共場(chǎng)所的網(wǎng)絡(luò)、發(fā)送一份工作文檔到私人郵箱——說(shuō)到底，這不就是我們嗎?所謂“安全疲勞”現(xiàn)象并非空穴來(lái)風(fēng)。

對(duì)我們這些試圖克服安全疲勞的人來(lái)說(shuō)，挑戰(zhàn)存在于如何將維護(hù)安全與信息的手段變得要么極端強(qiáng)制要么非常簡(jiǎn)單易行，特別輕松就能完成以至于沒有理由不去做它。

如何正確完成這些還有待檢驗(yàn)，但是我認(rèn)為2017年能夠涌現(xiàn)更多比以往有創(chuàng)造性的措施解決這個(gè)問題。

四、注意你的高管

首席執(zhí)行官和其他管理人員因其敏感信息可在黑市中變現(xiàn)，成為網(wǎng)絡(luò)犯罪最有吸引力的攻擊對(duì)象，這一標(biāo)靶地位在2017年仍將繼續(xù)。高管在大多數(shù)企業(yè)中有最大特權(quán)，在公司網(wǎng)絡(luò)系統(tǒng)中有最高通行權(quán)限。

商業(yè)郵件欺詐(BEC)在2017年將會(huì)持續(xù)并產(chǎn)生變種，網(wǎng)絡(luò)犯罪者盜取高管的郵箱地址，他們自身也陷入詐騙轉(zhuǎn)賬中。在過去的三年，F(xiàn)BI公布首席執(zhí)行官郵件欺詐使公司損失23億美元。

這是一個(gè)很現(xiàn)實(shí)的問題，對(duì)這些手握重權(quán)的人來(lái)說(shuō)，自身時(shí)間和資源管理壓力巨大，以至于對(duì)社會(huì)十分敏感多情。所有的一切只需一個(gè)錯(cuò)誤的點(diǎn)擊，就給予攻擊者盜取敏感客戶信息、記錄的機(jī)會(huì)。

問題是這些人過于忙碌，容易分心，也“過于聰明”以至于不需要參加常規(guī)性網(wǎng)絡(luò)安全培訓(xùn)。這就是為何我們希望安全意識(shí)培訓(xùn)能夠聚焦并為高層管理人士量身打造。高管們需要與普通員工一樣知曉安全信息課程，但應(yīng)該通過更適合他們的方式來(lái)進(jìn)行。

五、隱私保護(hù) 人人有責(zé)

在企業(yè)中隱私問題得到更大的聚焦，即將囊括在一般數(shù)據(jù)保護(hù)條例中。隱私安全的規(guī)范——由一般數(shù)據(jù)保護(hù)條例強(qiáng)制規(guī)定——將進(jìn)入每個(gè)軟件產(chǎn)品與技術(shù)解決方案中，這也包括員工安全意識(shí)認(rèn)知。

因?yàn)橐话銛?shù)據(jù)保護(hù)條例傳播廣泛，它將從原有隱私保護(hù)在高級(jí)行政管理水平延伸至普通員工中間。換言之，我們認(rèn)為一般數(shù)據(jù)保護(hù)條例會(huì)鼓勵(lì)人人肩負(fù)起隱私保護(hù)的責(zé)任，原本就應(yīng)該是這樣。

不僅是已經(jīng)執(zhí)行數(shù)據(jù)保護(hù)規(guī)定的公司，各行業(yè)的公司都會(huì)加入這個(gè)領(lǐng)域的討論中。

除此之外，條例中明文規(guī)定需要進(jìn)行隱私意識(shí)培訓(xùn)。例如，規(guī)定企業(yè)數(shù)據(jù)保護(hù)負(fù)責(zé)人要“安排員工安全意識(shí)培訓(xùn)的操作。”在這些法規(guī)壓力下，企業(yè)應(yīng)該在其經(jīng)營(yíng)管理中充分考慮隱私問題否則將付出代價(jià)。

下一個(gè)大的威脅什么?

麻煩在于，沒有人真的知道這威脅是什么。2016年末，我們看到IOT因?yàn)榇笮虳DoS攻擊受到牽連，而這似乎還會(huì)繼續(xù)發(fā)生。

但有一件事我們更加確定，盡管不愿承認(rèn)，接下來(lái)的攻擊會(huì)繞過技術(shù)防護(hù)并找到方式挖掘人性的弱點(diǎn)。面對(duì)這些挑戰(zhàn)，有一個(gè)主題將不會(huì)改變，那就是“網(wǎng)絡(luò)犯罪者會(huì)持續(xù)找到新的方式欺騙你的員工”。

你準(zhǔn)備好了嗎?