管理人为风险是任何网络风险管理计划的一个重要方面. 在这个网络威胁的时代, 组织必须加强并优先考虑保护自己免受网络攻击的努力. 虽然大多数组织都专注于利用最新的技术来实施他们的安全措施, 一个全面的信息安全意识计划必须到位,以确保员工意识到并教育他们在工作场所可能遇到的威胁. 根据2023年的一份报告, 74%的违规行为与人类有关, 无论是恶意还是过失, 让人成为网络入侵的最主要原因.1 虽然这比2022年低8%,但人类仍然对组织的数据构成高风险. 因此, 组织必须以与任何其他已识别风险相同的方式对待人为风险, 通过制定缓解计划,根据组织的风险承受能力将风险降低到可接受的水平.
进行风险评估
管理人类风险的第一步是进行风险评估,以确定对组织最关键的风险因素. 听起来很熟悉? 要想成功, 风险分析师必须评估漏洞被利用的可能性以及该事件可能产生的影响. 找到这些威胁来源, 安全运营团队应该参与发现有关网络事件的文档, 过去审计的威胁情报和缓解计划. 安全运营团队还会测试用户被渗透的可能性, 例如, 通过网络钓鱼模拟练习. 一旦评估员有了这些信息, 他们可以建立一个风险登记册,优先考虑最高的风险因素.
任何教育工作者都知道,不可能教会一个人他们需要知道的一切,并期望他们记住所有的信息. 在进行风险评估之后, 关键风险可以通过意识和教育来定位和减轻. 例如, 组织中的员工应该意识到与网络钓鱼攻击或身份盗窃相关的风险,这些攻击通过电子邮件等攻击媒介吸引员工, 应该教他们如何识别可疑的电子邮件和链接,不要在电子邮件或电话中泄露敏感信息. 但是让员工意识到威胁只是保护他们和他们的组织的第一步.
开展网络安全意识项目不应被视为一次性事件. 年度合规培训不足以持续加强良好网络卫生所需的实践. 员工需要可操作的项目来了解在面临威胁时如何应对. 澳门赌场官方下载应该考虑如何超越意识程序来实现准备程序. 例如, 组织可以每季度或每两年进行一次培训,并以网络研讨会或电子学习模块的形式提供网络安全学习机会.
反复进行的风险评估表明,某些关键风险因素已被减轻到可接受的水平, 而其他国家的重要性有所上升, 基于新的威胁. 人类安全风险的长期缓解改变了组织的安全文化.
培育保安文化
减少人为风险的缓解计划还应侧重于在组织内培养安全文化. 必须强调的是,网络安全不仅仅是It部门或网络安全团队的工作, 而是, 保持组织的安全是每个人的责任. 文化变革需要持续的努力,需要时间才能看到结果.
创造安全的文化, 当员工发现有风险的网络活动时,鼓励他们说出来,并赞扬他们在有疑问时提出问题,这一点很重要. 组织还可以表彰实施安全实践的个人,并创建奖励系统来激励良好的安全行为.
当员工发现有风险的网络活动时,鼓励他们说出来,并赞扬他们在有疑问时提出问题,这一点很重要.
检查员工行为
管理人类风险的另一个关键方面是跟踪员工活动. 而培养与员工之间的信任是至关重要的, 还必须有适当的措施来检测错误或恶意员工行为. 员工监控软件可以跟踪这种行为,并提醒IT团队注意可疑或有风险的活动, 例如数据泄漏. 对员工活动的定期IT评估或审计有助于识别潜在的安全漏洞或弱点. 就像对待其他类型的风险一样,这些风险应该被积极地处理.
投资时间、才能和财富
信息安全准备计划需要时间、人才和财富才能成功. 专门的资源需要时间来开发、执行和长期维持项目. 人才要求包括那些懂得风险的人, 能否与组织的不同层次进行有效的沟通, 并且可以开发与风险识别和澳门赌场官方下载使命和目标相关的材料. 最后,一个好的项目离不开资金. 而一些伟大的和多样化的材料是免费的, 针对关键风险的综合项目需要预算. 了解最重要的人类风险因素可以帮助开发一个引人注目的业务案例,概述对, 和福利, 的资金.
结论
如果一个组织做出基于风险的业务决策,它就不能忽视人为风险. 人类是主要的攻击媒介. 应适当使用技术来识别, 检测和预防安全事件, 但是,训练被攻击的人可能是防范网络事件的最佳手段. 通过进行风险评估, 建立积极的安全文化, 了解员工的活动,妥善管理资源, 组织可以减少人为风险因素并保持敏感信息的安全.
尾注
1 Verizon, 2023年数据泄露调查报告2023年,美国
编者按
想了解更多作者对这个话题的看法,请收听“管理人类风险需要的不仅仅是意识培训ISACA的一集® 播客.
克里斯Madeksho, CISA, CRISC, SSAP
网络安全分析师是否具备治理能力, 田纳西大学(孟菲斯)的风险与合规(GRC)团队, 田纳西州, 美国)健康科学中心. 她的工作领域包括风险管理、政策管理、安全意识和外展. 她的职业生涯跨越了旅游、制药和高等教育行业.