这是加拿大IT界专家在网络安全意识月期间提出的建议之一。以下是其他小贴士的汇总:
他指出,大约三分之二的组织遭受安全控制被破坏。“原因是很多人把技术扔在这个问题上,但不做研究来找出谁是这些攻击的背后,以及黑客的技术、战术和程序是什么。如果你知道他们是如何攻击你的,你就可以制定一个防御策略,真正避免成为这些攻击的受害者。”
他表示,一项深入研究发现,74%遭遇数据泄露的机构,都存在因资质薄弱、被盗或其它原因导致的特权账户滥用。因此,保护这些帐户、消除共享根帐户和强制进行多因素身份验证对降低风险大有帮助。
乔治说,与其把钱花在防火墙或数据加密上,不如把钱花在安全意识培训上。然而,他认为太多的公司每年召集员工开会一次,解释网络钓鱼是如何运作的,告诉他们注意诱饵,然后祝他们“好运”。
他说,员工们必须亲眼看到攻击是什么样的,这意味着CISOs必须定期进行网络钓鱼测试——对那些经常失败的人要承担后果。“仅仅在教室里教授(意识)是没有用的。你要不断地测试他们是否在应用他们所学到的东西。”
我们必须意识到,不仅CISO要向员工谈论网络风险,所有的领导都有教育的责任。
他说,管理层必须明白,并非所有安全事件都是恶意的。那些粗心大意的人或在他们所使用的软件工具上犯错误的人是造成大量事故的原因。
他说,正式的安全意识项目以及可理解的安全政策至关重要。“作为政策和程序的作者,我们倾向于为律师写作,而不是为雇员,”他补充说。“所以员工们浏览这些简历,忘记了他们的职责是什么,忘记了他们应该寻找的东西……把简历写得实用些,写一些他们可以带入个人生活的东西。”
他表示:“人们往往认为,我们今天面临的问题、风险和对手很复杂。”但大多数导致灾难的事情都比较简单。它们往往不是复杂的或由民族国家精心设计的,而是可以通过简单的控制或检测机制或通过普遍认识来预防的事件。”
相关内容:个性化培训
“通过向用户展示如何保护他们的Facebook或Instagram账户,他们回家后会教他们的朋友和家人,然后回到工作中。当你说“所有员工都应该这么做”时,人们往往会置若罔闻。“如果你能让你的听众明白他们如何在个人生活中保护自己,那将改变他们的思维方式,并将其运用到工作中。”
“这不仅仅是‘不要点击链接’。“这是让员工明白他们什么时候被操纵了。让他们看看假网站是什么样子的,小心地上的瑞银钥匙或电话。”
它还警告工作人员,他们在社交网站上发布的文字和照片可以帮助攻击者。
尽管许多专家表示,组织需要定期进行网络钓鱼测试,但法齐奥表示,公司应该奖励那些通过测试的人,而不只是惩罚那些失败的人。
“我们需要向员工表明,他们是安全团队的一部分,”他说,“他们是第一道防线。”
“花点时间制定一个计划,为网络事件做准备,不仅能更好地保护你的业务,还能帮助你在遭受攻击时更快地恢复。”你的计划至少应该回答以下问题:
“简单的事实是,坏人在寻找容易的目标。如果你能让自己更不受欢迎,更难以渗透,你就不太可能遭受攻击。写下你的网络安全计划是最好的开始。”
他补充道,加密你的数据可能是保护你的业务最简单、最有效的方法,尤其是在受到勒索软件等威胁时。加密将您的数据更改为代码,以便希望读取数据的任何人都需要密钥或密码。加密是保护你的数据的一个基本出发点,使黑客更难以访问。
-最后,联邦政府的加拿大网络安全中心提醒信息安全专家,今年早些时候,它发布了中小组织的网络安全控制基准,以帮助中小企业提高弹性。
为了进一步解释这些原则,网络中心已将本指引文件的主要内容,分成一系列简短扼要的网志,介绍基本的网络保安管制,并解释一些重要的意见和指引。
一个博客关注于为员工提供网络安全意识培训的重要性。“网络中心强烈建议大大小小的机构投资于员工的网络安全培训项目,并考虑制定网络安全培训政策,以确保员工了解常见的网络威胁。”