隨著惡意軟件即服務(wù)的興起,內(nèi)部人員如今更能破壞公司的運(yùn)營(yíng),更易于盜取公司數(shù)據(jù)到暗網(wǎng)售賣(mài)���。
如果缺乏管理層的正確支持,我們幾乎不可能預(yù)防重大數(shù)據(jù)泄露。
惡意內(nèi)部人員與危險(xiǎn)惡意軟件的組合��,意味著管理層需要更積極地參與進(jìn)安全工作中來(lái)����。
管理層傾向于認(rèn)為網(wǎng)絡(luò)安全最好交給IT部門(mén)或內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊(duì)來(lái)做��。
然而���,這種思維與當(dāng)今良好網(wǎng)絡(luò)安全操作相去甚遠(yuǎn)����。
之所以會(huì)有這種錯(cuò)誤的觀念����,很大程度上是由于網(wǎng)絡(luò)安全固有的技術(shù)本質(zhì);而有關(guān)人員和過(guò)程的其他方面卻被忽略掉了�。
本文專(zhuān)注于可改善網(wǎng)絡(luò)安全中人員與過(guò)程方面的最佳管理操作,討論公司企業(yè)可采取何種措施來(lái)確保其網(wǎng)絡(luò)安全始終保持優(yōu)質(zhì)水平����。
數(shù)字資產(chǎn)識(shí)別我們采用的資產(chǎn)概念來(lái)自于 ISO 55000 標(biāo)準(zhǔn)�。
根據(jù)ISO標(biāo)準(zhǔn)����,資產(chǎn)就是對(duì)企業(yè)而言具有當(dāng)前或潛在價(jià)值,且處于企業(yè)管理范疇之內(nèi)的東西����。
雖然 ISO 55000 對(duì)資產(chǎn)的定義偏重于物理資產(chǎn)管理,但這一定義同樣適用于包括數(shù)據(jù)在內(nèi)的數(shù)字資產(chǎn)���。“關(guān)鍵資產(chǎn)”則不僅僅取決于其價(jià)值�,關(guān)鍵資產(chǎn)是一旦受損就可能會(huì)嚴(yán)重?fù)p害企業(yè)持續(xù)運(yùn)營(yíng)能力的東西��。
當(dāng)今世界�����,對(duì)任何企業(yè)而言最重要的資產(chǎn)就是數(shù)據(jù)了���。
然而�,并非所有的數(shù)據(jù)都同等重要��。
每家公司都對(duì)其客戶、合作伙伴���、倉(cāng)儲(chǔ)�����、供應(yīng)商的數(shù)據(jù)及其自身運(yùn)營(yíng)數(shù)據(jù)負(fù)有責(zé)任��。
流經(jīng)企業(yè)的數(shù)據(jù)流通常包括金融數(shù)據(jù)�����、運(yùn)營(yíng)數(shù)據(jù)�����、客戶個(gè)人可識(shí)別數(shù)據(jù)�����,有時(shí)候還會(huì)有機(jī)密數(shù)據(jù)����。
預(yù)防數(shù)據(jù)泄露的第一步�����,就是識(shí)別并分類(lèi)這些數(shù)據(jù)����。
雖然IT部門(mén)了解公司各類(lèi)系統(tǒng)的運(yùn)行狀況,但他們往往不清楚整體業(yè)務(wù)運(yùn)營(yíng)過(guò)程�。
作為管理人員,這就是你可以發(fā)揮作用的地方��。
數(shù)據(jù)往往可被分為如下幾類(lèi):公共數(shù)據(jù)��、內(nèi)部數(shù)據(jù)��、機(jī)密數(shù)據(jù)和監(jiān)管所需數(shù)據(jù)�。
必須標(biāo)明哪類(lèi)數(shù)據(jù)與公司哪個(gè)過(guò)程相關(guān)。
網(wǎng)絡(luò)罪犯通常不會(huì)試圖獲取所有類(lèi)型的數(shù)據(jù)��。
有時(shí)候他們只想要內(nèi)部數(shù)據(jù)�,其他時(shí)候也可能針對(duì)內(nèi)部數(shù)據(jù)、機(jī)密數(shù)據(jù)或監(jiān)管所需數(shù)據(jù)����。
但是網(wǎng)絡(luò)罪犯和內(nèi)部人員一般都有試圖獲取的某類(lèi)特定數(shù)據(jù)。
內(nèi)部威脅解決方案內(nèi)部威脅是每一家公司企業(yè)都面臨的一類(lèi)非常獨(dú)特的安全問(wèn)題�����,需要特定的資源來(lái)加以解決。
內(nèi)部威脅解決方案就是為此而設(shè)的�。
解決方案是全公司范圍內(nèi)施行的一個(gè)計(jì)劃,具備統(tǒng)一的愿景和使命����,有各自的角色、職能�,還有針對(duì)性培訓(xùn)。
理想情況下���,該方案應(yīng)納入人力資源�、法務(wù)���、IT�、工程����、數(shù)據(jù)擁有者和各部門(mén)主管。
但最重要的是�����,該方案應(yīng)僅涵蓋公司中最可信的個(gè)人。
內(nèi)部威脅解決方案是要建立起相關(guān)信息的來(lái)源����、一系列協(xié)議和機(jī)制�����,用以檢測(cè)����、預(yù)防和響應(yīng)內(nèi)部威脅。
其中應(yīng)包含有方案的使命�����、詳細(xì)的預(yù)算�、監(jiān)管結(jié)構(gòu)和一個(gè)共享的平臺(tái)。
以上這些還僅僅是方案的構(gòu)成����,方案的執(zhí)行需要:
1. 合規(guī)與過(guò)程監(jiān)管理事會(huì)該組織的存在是要審查公司現(xiàn)有過(guò)程并提出修改建議以預(yù)防內(nèi)部威脅。
2. 報(bào)告機(jī)制辦公室政治�、抱團(tuán)行為和其他很多因素都會(huì)阻礙員工報(bào)告可疑行為。
因此��,對(duì)可疑內(nèi)部人員的報(bào)告機(jī)制應(yīng)是保密的,以防揭發(fā)者會(huì)受到報(bào)復(fù)�。
3. 事件響應(yīng)計(jì)劃已發(fā)現(xiàn)內(nèi)部威脅,甚至都有證據(jù)證明內(nèi)部人員導(dǎo)致了數(shù)據(jù)泄露�,此時(shí)難道僅僅是炒了他們并向官方舉報(bào)嗎?如果有個(gè)內(nèi)部事件響應(yīng)計(jì)劃的話,這些問(wèn)題就可以有個(gè)更為明晰的答案了�����。
響應(yīng)計(jì)劃會(huì)詳細(xì)闡明警報(bào)的觸發(fā)�����、管理和升級(jí)步驟��。
而即便有了這么詳盡的步驟�,每一步行動(dòng)和流程仍需引入時(shí)間框架。
4. 針對(duì)性培訓(xùn)內(nèi)部威脅培訓(xùn)是對(duì)公司內(nèi)所有人員的意識(shí)培訓(xùn)項(xiàng)目�����。
不過(guò)�,直接涉及內(nèi)部威脅方案的人員會(huì)接受更有針對(duì)性培訓(xùn),以更好地檢測(cè)并緩解內(nèi)部威脅��。
5. 基礎(chǔ)設(shè)施這一組件很直觀,就是用來(lái)檢測(cè)���、預(yù)防和響應(yīng)內(nèi)部威脅的基礎(chǔ)設(shè)施;支持管理層達(dá)成其使命的技術(shù)�����。
部署的技術(shù)應(yīng)定期審查���,優(yōu)中擇優(yōu)����。
一個(gè)典型的內(nèi)部威脅方案共包含13個(gè)部分。
上面沒(méi)列出的還有:言論自由保護(hù)��、通信框架���、內(nèi)部威脅方案支持策略��、數(shù)據(jù)收集工具���、供應(yīng)商管理和風(fēng)險(xiǎn)管理集成。
安全審查與監(jiān)視(HR)招聘員工時(shí)�����,有助防護(hù)公司安全的一個(gè)預(yù)防性措施,就是對(duì)應(yīng)聘者進(jìn)行背景調(diào)查�。
有些公司常出于節(jié)約成本的目的而做此類(lèi)審查,但在網(wǎng)絡(luò)安全領(lǐng)域��,招聘過(guò)程只是人事部門(mén)的第一步���。
需要特別注意的是應(yīng)聘者的犯罪前科和來(lái)應(yīng)聘的真實(shí)原因���。
惡意內(nèi)部人員有時(shí)候會(huì)是間諜,會(huì)表現(xiàn)得像是公司最適合的人選一樣�����,而一旦成功進(jìn)入公司��,就不定會(huì)干出什么事來(lái)了��。
NIST網(wǎng)絡(luò)安全框架建議���,公司企業(yè)應(yīng)為每個(gè)職位都賦予一個(gè)風(fēng)險(xiǎn)等級(jí)��。
風(fēng)險(xiǎn)等級(jí)越高����,對(duì)該職位求職者的信任和安全要求就越高。
新人員進(jìn)駐高風(fēng)險(xiǎn)職位時(shí)����,應(yīng)有主管人員更緊密地監(jiān)視其有無(wú)高風(fēng)險(xiǎn)行為。
另外���,任何事件都應(yīng)被記錄在案��,并進(jìn)行行為趨勢(shì)分析���。
該過(guò)程中可利用行為分析和風(fēng)險(xiǎn)分析技術(shù)加以輔助��。
HR還應(yīng)準(zhǔn)備好勞動(dòng)終止協(xié)議��,以備必須讓員工離職時(shí)所需���。
該協(xié)議應(yīng)要求主管人員進(jìn)行離職會(huì)談��,給出最后的績(jī)效考評(píng)���,并商討最后一筆工資數(shù)額。
IT部門(mén)應(yīng)刪除擬離職員工的所有賬戶。
如果擬離職員工是特權(quán)用戶���,IT部門(mén)還要修改所有共享口令���。
HR需向該擬離職員工再次確認(rèn)知識(shí)產(chǎn)權(quán)協(xié)議。
健康的工作文化和最小化的壓力主管人員面臨著平衡員工壓力和生產(chǎn)力的挑戰(zhàn)�����。
通常情況下��,經(jīng)理們會(huì)選擇生產(chǎn)力;也就意味著會(huì)讓員工以承受高壓為代價(jià)來(lái)達(dá)成業(yè)績(jī)目標(biāo)���。
而人們承受壓力時(shí)����,各種各樣的負(fù)面影響開(kāi)始顯現(xiàn)��,比如出現(xiàn)更多的失誤���,接二連三地病倒�,還會(huì)產(chǎn)生一種被忽視的感覺(jué)��。
以上點(diǎn)出的這些還僅僅是負(fù)面影響的一小部分,而僅僅是這一小部分��,已經(jīng)具備了讓玩忽職守問(wèn)題和惡意內(nèi)部人員威脅滋生的沃土��。
為避免這些讓威脅滋生的條件��,公司企業(yè)有必要了解創(chuàng)建健康的工作文化需要先解決哪些緊迫問(wèn)題����。
其中一個(gè)問(wèn)題在上文中已提到:管理生產(chǎn)力與壓力水平。
其他挑戰(zhàn)還包括為員工生產(chǎn)力水平建立基線���,理解降低壓力的成本和收益����。
識(shí)別這些問(wèn)題對(duì)自家公司的影響��,有助于管理層看清可進(jìn)行哪方面的運(yùn)營(yíng)過(guò)程改進(jìn)����。
減小壓力可能意味著需要實(shí)現(xiàn)一種新的管理風(fēng)格�,比如面向工程的任務(wù)管理。
另一種減小壓力的方法或許是理解公司衡量成功的方式����,了解關(guān)鍵績(jī)效指標(biāo)(KPI)��,并弄清這些因素都是如何影響工作文化的�����。
不良KPI的例子可以參考幫助中心以接電話數(shù)量而不是有無(wú)實(shí)際幫助到客戶作為KPI��。
如果以電話數(shù)量為KPI����,那么數(shù)量的壓力必然驅(qū)使員工為達(dá)成特定目標(biāo)而降低客戶服務(wù)質(zhì)量���,增加不必要的競(jìng)爭(zhēng)���,同時(shí)催生更多的錯(cuò)誤。
只需簡(jiǎn)單地將KPI改為實(shí)際幫助到的客戶���,就能改變員工的壓力點(diǎn)�����。
員工就可以與客戶進(jìn)行更有意義的互動(dòng)��,也會(huì)更愿意小心謹(jǐn)慎些以確保少出錯(cuò)�。
上述例子的重點(diǎn)在于采用符合公司環(huán)境的KPI。
三思而后行�����,應(yīng)先確認(rèn)自身工作文化中的問(wèn)題的根源����,再試圖解決之。
供應(yīng)商管理計(jì)劃&策略公司自身或許在努力避免來(lái)自員工的內(nèi)部威脅����,但供應(yīng)商和業(yè)務(wù)合作伙伴就未必那么盡職了。
于是�����,你需要一個(gè)供應(yīng)商管理計(jì)劃����,也就是明確自家公司與合作供應(yīng)商之間責(zé)權(quán)利的一系列協(xié)議����。
供應(yīng)商管理計(jì)劃屬于公司管理層的責(zé)任���。
IT部門(mén)就那么點(diǎn)兒人手和資源,如果管理層沒(méi)有在引入供應(yīng)商之前就設(shè)立某些標(biāo)準(zhǔn)���,那IT將不得不從有限的資源中再分出一部分來(lái)緩解各種漏洞�。
此類(lèi)計(jì)劃由4個(gè)階段組成:定義���、規(guī)范�、控制����,以及集成。
定義階段涉及確認(rèn)對(duì)公司運(yùn)營(yíng)而言最關(guān)鍵的供應(yīng)商都有哪幾家���,也就是識(shí)別出哪些供應(yīng)商是公司賴以成功的基石�。
如果沒(méi)處理好與這些任務(wù)關(guān)鍵型供應(yīng)商之間的問(wèn)題��,公司的運(yùn)營(yíng)可能無(wú)以為繼�,盈利也會(huì)受到影響。
規(guī)范階段主要涉及為每家合作供應(yīng)商制定一個(gè)安全聯(lián)絡(luò)員����。
該聯(lián)絡(luò)員的職責(zé)是維護(hù)合規(guī)信息�,進(jìn)行審計(jì)��,協(xié)調(diào)安全通信��,提供培訓(xùn)��,記錄所有合同和文檔�,并實(shí)施全面監(jiān)督。
上面兩個(gè)階段都履行之后�����,管理層的重頭戲就來(lái)了——制定供應(yīng)商策略和控制措施��。
起草供應(yīng)商策略時(shí)�����,文檔中應(yīng)囊括進(jìn)審計(jì)安全控制的權(quán)力�����,并制定出對(duì)供應(yīng)商在監(jiān)視�����、安全性能報(bào)告和數(shù)據(jù)泄露及時(shí)通告方面的合規(guī)要求�。
通過(guò)制定這些策略,安全聯(lián)絡(luò)員旅行自己職責(zé)的時(shí)候就有了有力的依據(jù)����。
不過(guò),聯(lián)絡(luò)員的成功很大程度上有賴于管理層對(duì)供應(yīng)商的要求�����,并將這些要求在此一階段設(shè)置為供應(yīng)商控制措施���。
最后的階段就是集成���,主要關(guān)注數(shù)據(jù)收集、分析和驗(yàn)證����。
公司應(yīng)能獲取供應(yīng)鏈的相關(guān)信息。
如果缺乏此類(lèi)數(shù)據(jù)���,公司將無(wú)法了解自身整體安全狀況��。
收集來(lái)的信息需要集成進(jìn)公司現(xiàn)有安全操作和審計(jì)流程當(dāng)中����。
若沒(méi)有完全集成,供應(yīng)商管理計(jì)劃就會(huì)流于形式���,這可不是想要在網(wǎng)絡(luò)安全時(shí)代取得成功的企業(yè)想要的狀態(tài)�。
管理層關(guān)鍵角色防止內(nèi)部威脅不僅僅是IT這一個(gè)部門(mén)的工作��。
只有管理層對(duì)此加以大力支持��,公司企業(yè)才能更好地防止內(nèi)部威脅��。
管理層可以用來(lái)幫助防止內(nèi)部威脅的方法還有很多���,上面提到的一些建議僅僅是其中一小部分���。
企業(yè)中的領(lǐng)導(dǎo)層對(duì)過(guò)程開(kāi)發(fā)、人員招聘���、業(yè)務(wù)關(guān)系和工作文化都具有深遠(yuǎn)的影響�����。
