2012-04-10 10:06:40 来源:ZDnet
虽然企业用于网络安全项目的经费不断增加,有些多达百万,但数据泄漏事件仍然层出不穷。在我看橄榄球比赛时,工作的事儿就被抛到脑后了。不过最近一次观看橄榄球比赛时,我忽然想到了用橄榄球比赛来与网络安全做比较。通过用橄榄球作比较,能够让企业更清醒的认识到为什么安全意识的教育对于降低网络安全风险和减少安全事故损失有至关重要的作用。通过将橄榄球比赛分隔成片段,我们能更好进行类比和解释。
橄榄球–企业最宝贵的财富。这个财富包括各种内容,比如知识产权、人力信息、法律文书、敏感的财务信息,以及任何能给企业创造财富的数据。
四分卫–IT项目的负责人。在橄榄球比赛中,四分卫担负着及时准确的将球投给正确的接手的任务。而在企业世界,IT安全的核心任务就是将正确的数据安全的交付给正确的接收方。
外接手/跑锋–各种各样的业务单元,它们接手来自IT系统所生成的各种信息和数据,通过这些内容产生提升企业价值的内容。
进攻前锋–设计用来保护敏感信息,数据完整性和可用性的技术人员以及安全系统(比如防火墙、入侵检测系统/入侵预防系统、病毒查杀产品、身份验证系统、垃圾邮件过滤器等等)。
左内边锋–这个位置的人员负责保护四分卫(即企业中的IT安全部分)的盲区。企业的所有员工都不同程度的管理着企业的各种数据。他们应该接受足够的安全教育,让他们明白自身工作的风险和威胁可以导致企业数据的泄漏以及数据完整性受损。每个员工都是一个独立的点,而IT防御系统并不总能够覆盖到这些点,也就形成了IT安全的盲区。如果对方的防守队员(即外部安全威胁)成功的绕过了进攻前锋(IT防御系统),接下来左内边锋(企业的所有员工)的职责就是防止他到达四分卫那里并抢到橄榄球(企业数据)。要想高效率的完成这个职责,企业雇员需要具备足够的安全知识培训和相应的工具。
技术方案并不是万无一失的
目前企业所采用的各种安全防护方案主要用来应对日常的网络攻击,就好像在应对橄榄球比赛中对手的各种战术一样。但不管我们花多少钱购置最新最好的安全系统,企业网络中的安全盲区仍然存在,并且不能通过技术手段彻底保护。
大部分人对于安全防护的意识是通过技术解决方案配合相应的安全处理过程来应对企业网络安全问题,但在这中间,很多人忽略了对于人员安全教育培训的重要性。对于一个中等规模的企业来说,每年用于网络安全防护方面的投资,平均到每个员工身上会达到100美元,但是其中用于员工安全意识培训的经费还不到1美元,甚至不如企业给员工喝咖啡的经费投入。所以说,大部分企业没有经费用于建立和开发有效和持续性的员工安全意识培训课程就不是什么奇怪的事儿了。
很多人不理解,为什么价格昂贵、部署全面的企业安全机制会由于员工打开网络钓鱼邮件或主动下载安装小游戏等情况而变得毫无效果。实际上,前不久美国橄榄球联盟也注意到了左内边锋的重要性。企业也应该对于安全机制中的盲区改变态度了。除了加大对于员工安全意识培训方面的投资,企业还应该为员工配备预防威胁发生的工具,分享有关的知识以及经验技巧等。
橄榄球队都明白,要让他们的四分卫能够成功,就一定要给四分卫留下足够的时间和空间将球准确抛出。而要确保这一点,球队就要花钱找最好的左内边锋。对于企业来说,是时候将企业的所有员工培养成优秀的左内边锋了。通过加大资金投入,开发有效的安全培训课程并在全体员工中展开此类培训,企业可以明显降低安全盲区所面对的安全风险。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。