类别
最新消息

信息安全:以推文的速度响应

由Steve Durbin,全球副总裁,信息安全论坛 www.securityforum.org.

信息技术的采用越来越各种各样地跨越法律职业。有些公司在使用智能手机,平板电脑,社交媒体和云计算等事物的领先优势,而其他公司则没有理由从他们的Windows 95的软件中继续前进。但无论你在秤上,有一件事是肯定的:从网络空间的威胁的范围和严重程度日报正在日益增长,并采用新的工作方式和‘consumer’技术正在制作网络安全成为更复杂和具有挑战性的地区。

网络空间几乎已经进入了我们日常业务和个人生活的各个方面。在加方面,通过增加创新,协作,生产力,竞争力和客户参与,这带来了巨大的机遇和利益。在缺点,我们面临着从'MALSPACE'的威胁越来越多的威胁 - 由黑客群体,刑事组织和间谍单位居住的在线环境。

与此同时,我们正在展望将消费者的设备和社交网络行为带入工作场所的日益增长的趋势 - 特别是随着崛起的崛起‘Millennial’ (or ‘Generation Y’)劳动力 - 将新渠道开辟了新渠道,以新的方式定位公司。

BYOD打开门
人们开始要求允许使用他们的个人移动设备进行工作 - 所谓的‘带上自己的设备’(byod) - 前段时间,智能手机和平板电脑的快速采用已经看到这一趋势在过去几年中加速了。

以上网本,智能手机和平板电脑等消费者为导向的设备正在变得更加实惠,更强大,更好地连接。在许多方面,这些设备的功能和便利性已经超过了传统上由组织提供的笔记本电脑和PDA的能力和便利性。

这一趋势将在未来更加坚定地建立自己,因为有吸引力的新设备达到市场,家庭和办公室工作之间的区别日益模糊。

我们越来越多地使用我们自己的设备,以便仅仅是电子邮件访问,并将它们直接连接到内部信息资源。通过将这些设备带入公司’s ‘safe zone’,我们也开辟了新的攻击渠道,并将潜在的新恶意软件主持人放在内部‘firewall’.

如果没有正确管理,则可能会使业务的消费设备可能完全摆脱公司,并且可能需要一些时间 - 以及可能的新技术 - 在保密,诚信和商业信息的可用性之前受到保护可接受的标准。

完全禁止使用以消费者为导向的工作设备,不太可能是实用的,更不用说成功。我们需要考虑如何管理风险,同时享受这种趋势的好处。

社交网络:内部的敌人?
社交网站现在现在非常受欢迎和全球范围 - 仅限Facebook拥有超过5亿的活跃用户 - 他们是工作生活的日益增长的方面。

在人们通过社交网站连接的家庭,朋友和商业联系人中,有许多有些利益相关者的关系,涉及各种“社会”和“网络”的互动和信息交流。

其中,将有犯罪分子寻找他们可以利用他们的优势的信息。这可能是可用于识别盗窃,劫持帐户和敲诈勒索的信息。旧诈骗 - 像尼日利亚‘419’骗局 - 在社交网络中找到新的生活。诈骗等“帮助”,我已经被抢劫了!'骗局是新的和改进的版本,具有额外的可信度 - 特别是当他们显然来自我们在社交网络上的人。

最终,进入这些网站的信息是不受控制的 - 即使员工使用他们的隐私设置并限制对其朋友的访问,它们也无法控制别人选择与他们所看到的信息有关。

一旦信息进入社交网络的领域,它几乎确定它将永远存在,并且可能出现无害的东西 - 例如,“我在外包会议上” - 可能导致意外后果,如“哇,我们都是冗余的!“

即使是琐碎的信息也可以具有价值,并且当甚至琐碎的信息被设置为网络时,它可以以无法预见的方式变形。一个经典的例子是(现在退休)的网站 plearerobme.com 这只是将社交网站简单地汇编,以编译人们在假期和“可用”中抢劫时的列表。

建立意识
当然,技术当然会在解决网络威胁的崛起方面发挥作用,加剧了对代理和消费的趋势以及在工作环境中使用社交网络的使用。但更重要的是,这是在该公司跨越安全积极环境的倡议。

许多组织运行安全意识活动,并在教育,通知和最终试图改变员工行为方面取得重大总和,以便这是“安全积极”。目的是确保每个人都认为和行为,以防止重要信息被妥协或披露给未经授权的个人。

从历史上看,大多数提高认识的努力都集中在消息内容(即知识转移)上,导致更有创造性的计算机培训,改进的海报运动和更多的吸引力。来自ISF成员的证据表明,虽然它们是一定的令人印象深刻的,但这些方法只留下了短暂的印象,通常不会长期改变人们的行为。

需要更加重视培养在本地和个人级别的信息安全信息的交流,并且实用,易于理解和定期加强。

建立安全阳性环境需要有关工作场所信息安全的有效沟通:这是员工处理信息以及事件风险高的地方。安全从业者的作用是通过帮助制定允许当地员工讨论信息安全的论坛及其对工作,有效性和成功影响的论坛来支持这一过程。

这个过程应该导致广泛的结论,糟糕的安全对业务不利,并且每个人都需要对他们如何处理信息负责。

因此,员工处理信息如何处理信息,因此他们必须在信息安全中采取更积极的作用。安全从业者应负责信息安全回到业务。

每个人的问题
网络威胁不仅仅是信息安全职能的问题:他们需要参与公司内的每种学科。需要协调,协作的方法,通过高级实践领导者领导 - 优选地,优选地是合作伙伴。组织需要与客户,供应商,投资者,媒体和其他利益相关者协调,以构建允许本组织为无法预测的事件做准备的恢复力。

这意味着将多学科团队组装从公司的实践和功能,以后,在发生违规和攻击时开发和测试计划。该团队应该能够快速回应 - 以推文的速度 - 与组织的所有部分沟通的事件,可能受到影响,监管机构和可能受到影响的其他利益攸关方。

网络恢复力的一个基本组成部分是一个有助于监测网络活动的董事会级别的治理框架 - 包括与商业伙伴的监督合作,以及网络空间的风险和义务。组织需要与利益相关者进行分析,收集和分享网络智能的过程。他们还需要一个评估和调整他们对过去,现在和未来网络空间活动的影响的过程的过程。

此外,组织应在内部应用同样的合作方式;在不同群体中分享知识和最佳实践。

此外,我们需要将风险管理重点扩展到纯信息机密性,完整性和可用性(CIA),以包括其他风险,例如信誉和客户渠道,并认识到网络空间中活动的意外业务后果。

它不足以独自建立网络安全。如今,风险管理在很大程度上侧重于通过对已知风险的管理和控制实现安全性。网络空间的机会和风险的快速演变正在超越这种方法,它不再提供所需的保护。组织必须扩展风险管理,包括风险恢复力,以便管理,响应和减轻网络空间活动的任何负面影响。

网络弹性预期了一定程度的不确定性:很难对参与网络空间的完全全面的风险评估。网络恢复力也认识到伴随着与玛瑙空间越来越复杂的威胁的挑战。它包括对准备和全面的快速响应能力的需求,因为无论保护自己的最佳努力如何,组织将受到网络攻击的影响。

最重要的是,网络恢复力是为了确保组织的可持续性和成功,即使它已经受到几乎不可避免的攻击。

为了帮助组织确定并计划当今互联,永远在世界的越来越多的网络威胁范围增加’s 威胁地平线2014:在威胁碰撞时管理风险 报告提供了安全风险的前瞻性概述,可能的业务影响和实用,以业务为导向的行动计划。报告的执行摘要可在ISF网站上获得,并且从ISF在线商店购买的非会员提供完整报告: //store.securityforum.org/shop/