网络安全的人为因素:隐私,道德,可用性和责任与团队一起,小编一直是RSA年度会议的热情支持者。在这里,顶尖的网络安全领导者和社区同行汇聚一堂,交流最大,最勇敢的想法,以推动行业向前发展。小编喜欢RSA会议以一个关键主题为基础,该主题以行业运动,贡献或想法为基础,这可能会极大地影响或破坏现状。这有助于像我们这样的专业人士专注于影响行业的最先见之明的趋势。今年的主题是“人为因素”,我非常重视这一主题。那么如何制定以人为本的网络安全策略?
信息安全专业人员经常将IT的人为因素解释为“人为错误”,这是公司数据安全机制中最薄弱的环节。你不能怪他们。在许多情况下,网络安全事件是由人为错误,恶意意图或无知引起的。实际上,根据IBM的一项研究,人为错误是95%的网络安全漏洞的主要原因。因此,有意义的是,该行业正在越来越多地投资于将这些人为风险降至最低的技术,策略和标准。这是提供行为监控,内部威胁检测和数据丢失防护工具的技术旨在减少恶意和意外人员的威胁的主要原因之一。
但是,这与今天的数据安全形势所面临的显而易见的困境并没有关系。取而代之的是,我将从人类方程式的另一面来看:我们应该保护的用户。人不仅仅是您可以强制遵守安全最佳实践的资源。我们有感觉,担忧和需求。有效的安全策略将需要解决这些人为因素。
例如,如果您实施了强大的密码安全策略却未解决人类寻求便利的趋势,人们将找到一种绕过该规则的方法。他们将以纯文本形式记录下来,将其保存在浏览器中,或者开始在未经批准/个人站点上重复相同的密码。您将需要为他们提供有效的选项,例如SSO,密钥库或其他工具,以轻松管理其密码。
同样,让我们考虑工作场所监视。许多公司使用这些服务来提高生产力并减少内部威胁和数据泄漏。但是,如果您忽略员工的隐私权,您将面临法律后果的风险,更不用说文化裂痕,信任丧失以及许多其他问题,这些问题将超过您可以实现的任何安全利益。换句话说,您需要采用不仅可以有效提供功能安全性而且可以实现包容性的解决方案和策略。让我们看一下这是如何完成的。
隐私
近年来,由于引入了GDPR,CCPA和其他类似法律,数据隐私已成为网络安全专业人员之间讨论的话题。一方面,您需要保护客户的数据,知识产权和商业机密免受外部或内部威胁。同时,您有义务维护员工的隐私。解决方案是使用自治系统,例如员工监控,UEBA和DLP系统,以实现端点安全,但这样做不会无意间捕获员工的个人数据并使自己暴露在侵犯隐私的环境中。例如,当用户访问银行的网站或访问其个人电子邮件帐户,使用匿名化或智能中断功能来编辑PII / PFI / PHI或其他私人数据时,暂停监视和击键记录。这可能有些棘手,并且需要具有此类功能的现代解决方案。
伦理
尽管数据安全无疑是一件好事,但它也是一个细微的问题,可能使公司面临道德困境。毕竟,您是在保护组织,客户和员工免受灾难性的数据丢失事件的影响。实际上,事情并非如此。但是,在保护客户数据时,很容易混淆动机。
例如,员工可能想知道为什么您要实施特定的安全措施或监视计划。是因为您想提高工作效率吗?您是否真的需要扫描他们的电子邮件来实现这一目标?尽管数据安全的目标是合乎道德的,但防御措施仍需要适当。找到监视和安全的目的并建立边界和透明协议是避免此类道德陷阱的关键。
易用性
安全性不应损害可用性。相反,它应该能够实现自由和创造力。幸运的是,随着机器学习/ AI,NLP,基于上下文的分类以及其他软件的开发,公司可以平衡安全性和可用性。但是,您仍然需要花费时间配置这些解决方案或使用足够的数据来培训它们,以最大程度地减少误报。此外,如果您阻止工作流程而没有提供替代解决方案,则安全计划的成功将受到损害。例如,您可能认为阻止使用云驱动器是明智的预防措施。但是,如果您不允许其他渠道(例如私有云)或“类云”解决方案(例如Transporter或Space Monkey)使用,则员工很可能会使用电子邮件,USB驱动器或不太安全的方法来共享这些文件,
责任
数据安全不仅仅是安全专家的责任。为了取得成功,数据安全优先级必须是一项集体努力,应扩展到公司的各个级别。的确,如果仅依靠安全专业人员和技术,从选举黑客攻击和深层伪造到信息武器化的所有内容都无法解决。
对于一个小组来说,这个问题太大了。因此,作为安全专家,我们可以做些什么来推动大众参与?最重要的是,我们可以宣传数据隐私最佳做法的重要性。
像RSA这样的组织在传播这个词方面做得很出色,但我们也都可以提供帮助。只要有机会,就对人们进行教育和培训。诸如避免网络钓鱼电子邮件,检测社会工程学的迹象,在线承担责任,使用基本保护措施以及报告垃圾邮件等技能都是我们都可以在我们的社交渠道上分享的主题。我们分享的越多,我们创造的意识就越多。
当用户做错事时,容易推卸责任并责备用户,但是作为安全专家,我们要负责权衡安全与隐私,道德与盈利能力,可用性与合规性,责任与授权之间的艰难决策。制定以人为中心的安全策略将使其对我们的用户更易于使用,从而推动其成功。正如我们在RSA的朋友所说:“这是关于人们保护人们的事情。”更多关于信息安全的信息,请继续关注。