管理员用户发表的博客
在当今的商业世界中,信息越来越数字化,这让信息易于被使用,同时也易于被滥用。各类型的组织机构正在努力保护其机密信息,同时也需遵守日益严格的消费者与员工隐私保护相关的法律法规。因此,信息安全、保密与合规变得越来越困难。遭遇信息安全和机密泄漏事故的组织会遭受严重的负面影响。例如:改进其信息和网络安全功能的成本、客户和监管机构对其信任的丧失、声誉受到的损害、财务方面遭受的损失等等。
当数据泄露和网络攻击成为新闻时,通常人们会关注新闻事件背后的原因,通常来讲,都是由于组织内部人员的基本安全错误导致的。对此,昆明亭长朗然科技有限公司信息安全研究员董志军表示:大多数安全事故的调查结果都逃不出人为因素,因为从宏观上讲,是人类创作了信息,同样也是人类存储、使用和传输信息。有的调查可能显示信息系统没有获得及时的更新,这表面上看起来是系统安全漏洞被入侵者或恶意软件利用了,其实深究起来还是人员的问题,人们没有及时更新系统,毕竟系统是被动的,人员才是主观能动的。
信息安全漏洞的主要风险因素是:内部人有意或无意泄漏信息,以及外部人侵入组织的系统。这使得网络安全、信息保密与合规意识培训对于网络安全文化至关重要。
美亚柏科电子数据取证专家称: “一直以来,人们都错误地认为网络入侵、信息盗窃或数据泄露等等都源自于外部,实际上,多年来的统计结果及网络司法大数据表明:许多网络安全违规行为都可以归结为简单的人为失误,比如有人忘记更改默认密码、或者使用了很简单的常用密码。”
欧盟网络安全审计局公布的一项调查也表明:96%以上的网络入侵并没有利用什么高科技黑客技术,而是利用了已知的或已发现的简单人为错误。简单说,网络安全事故的根本原因就是受害人犯的一个个非常简单的错误,而不是犯罪者进行的特别复杂的工作。亚马逊德国网络安全专家称:五分之四的网络入侵涉及到账户被盗,入侵者利用了弱密码、容易猜测的密码、或密码重置问题。
遍布中国的大型政府机构和分布在多个地方的企业通常缺乏基本的网络安全控制措施,却乐此不疲地搞“智能安全”,这明显是地基不牢却又要拼命往高空发展的问题。要打好“地基”,需要强化基本的网络安全控制措施,让职员们了解并接受这些安全控制措施。
尽管黑客经常成为头条新闻,但通常违反信息安全性的行为通常始于诸如工作空间中的入侵者、不道德的同事或笔记本电脑被盗之类的事情。要防止组织的财产和声誉受到严重损害,需要员工保持警惕以应对内部和外部风险。
关于外部风险,随着犯罪分子使用计算机来利用互联网的高速和匿名特征,全球组织都看到了网络犯罪的增加。实际上,网络犯罪已被列为四大经济犯罪之一。通过僵尸网络、恶意软件和网络入侵进行的网络攻击已针对计算机硬件和软件。因此,员工们必须在电子通讯中保持谨慎,以最大程度地降低风险。
信息安全合规法律要求员工对他们处理的某些类型的个人信息采取特定的预防措施。此外,即使不受某些法律约束的组织也必须确保其员工理解并遵守内部安全政策,以保护各种形式的专有信息和机密数据。
随着信息技术创新的不断深入,物联网将带来更多新的风险,而工业控制系统和关键信息基础设施也越来越容易受到网络攻击。对此,董志军警示说:新的网络安全盲点和弱点会持续暴露出来,它们都和国家安全与人民福祉密切相关,也与人们的安全意识密不可分。改善一般网络安全防卫状况的最好方法是将“员工武装起来,化为第一道安全防线”。
昆明亭长朗然科技有限公司创立了“安全前线”网络安全防御在线课堂、“保持本色”安全保密普教系统,专注于网络安全、信息保密与法规遵循方面的教育培训。我们建立了网络安全基础人才教育平台,为各类型的组织机构提供一站式的安全、保密与合规意识宣教内容资源及在线学习服务。欢迎有兴趣的客户及行业合作伙伴联系我们,洽谈业务合作。
- 电话:0871-67122372
- 手机:18206751343
- 微信:18206751343
- 邮箱:info@securemymind.com
- QQ:1767022898