上文提到面對不同同事,該採取甚麼方法讓他們提高對網絡釣魚的警覺性,接下來再看看不同例子:
對神經緊張的人:遊戲化地不斷提醒
大多數人認為自己的個人資訊是無價的,會緊緊守護它,但也有一些人對自己和企業的資料毫不在乎有機構以創新方式解決這問題。
密西根州政府需要跟蹤被政府員工使用的台智能手機和平板電腦。以往只是準備了一個PPT讓員工來聽一個小時的演講但沒有多少人真正聽進去,員工都表示這辦法很無趣、難以接受,也並沒有教給他們什麼有用的知識。現在重新建立一套培訓方法,目標是要讓培訓變得更簡短、更具交互性、更有趣,技術部門選擇了一家培訓服務商來做這件事,該服務商利用一個遊戲視頻來進行培訓。
當中一部分內容是讓員工能與他們在機場被盜或者丟失的手機取得聯繫,擦除其上的內容,然後一步步地告訴員工們如何避免這類事情的發生。在一個線上遊戲中,員工們扮演一個角色。有90秒鐘的時間利用剛剛學到的知識尋找12台遺失或被盜的手機。員工控制的這個角色會在機場穿梭,要經過登機手續辦理處、美食廣場、行李輸送帶以及不同登機口之間的穿梭小火車,每使用一種工具他就會得到一個Like。希望每個員工對這次培訓能留下深刻印象。
對技術達人:要比他們更聰明
那些對技術非常在行的員工對於企業安全而言可能是一個噩夢,特別是在他懂得如何重新配置智能手機來獲得系統管理員級的操作許可權時,惡意軟件可以在流動設備上更隨意地進行操作。Gartner預計,到2017年,75%的流動安全性漏洞源於應用程式的不恰當配置。
對工程公司Karl Storz這方面的威脅非常大,員工都非常懂技術。從公司開始給員工配智能手機以來,我還沒有看到員工們自己刷機,但是他們有這個能力。一旦他們這麼做了,他們手機上的資訊IT部門就無法掌控了。
我們都知iOS的Jail Break或者Android的Rooting後,用戶可以直接訪問之前所無權訪問的資源,這會讓設備處於危險境地,它讓這些資料不再受應用或者作業系統所提供的保護。這也很容易就讓惡意軟件被植入到設備上,從而為更多的惡意行為開綠燈,包括提取公司資訊。這些被越獄的設備還很容易被暴力破解密碼,對此最佳的防護辦法就是通過MDM工具和策略來嚴格限制設備被破解。在此之上,通過應用程式「外殼」和「容器」來進一步保護重要的資料。
另外,IT安全負責人也需要借助網路存取控制技術,阻止那些被懷疑正在進行惡意操作的設備接入公司的業務系統。這些規定還應該成為公司整體資訊安全性原則的一部分,它與設備管理軟件來控制設備的配置、把資料保存雲端而不是在手機上等共同來確保企業資料的安全。
對迷戀分享一族:堵住安全性漏洞
社交媒體的出現令員工不自覺地分享了一些不該分享的內容。另外一個不安全的行為是,讓家人和朋友使用他的設備,這對與企業資訊安全的威脅開始顯現出來。這很容易成為黑客們攻擊的對象,這些黑客常常假裝是合作夥伴或者其他熟悉的人來誘使這些員工分享其敏感資訊。
那些在LinkIn和Facebook中使用公司郵箱的人,很容易招致黑客順著其郵箱來追蹤其發佈到網上的資訊,包括微信、博客以及發佈到各種論壇中的帖子,通過這些內容黑客們可以輕易找到它們感興趣的資訊,包含其個人的和其工作單位的。
培訓和教育是關鍵,要讓員工認識到一些黑客很有可能會參考這些資訊借助社交媒體或者通過郵件來欺騙你。公司應該為員工在工作時使用社交媒體制定一些規範。如果可能,員工應該在社交媒體上分別建立工作帳號和個人帳戶。此時,黑客仍然可以通過技術來跟蹤員工,但畢竟難度要大大增加。
有些父母親為了取悅孩子,讓孩子們在其工作用的手機或者平板電腦上玩遊戲或者看視頻,這會讓這些設備處於威脅之中,最糟糕的是,黑客可能誘使孩子們進入惡意網站並借此獲得對設備的存取權限。為了避免這種情況的出現,員工應該簽訂一些安全協定,禁止把公司設備給他們的朋友和家人使用。
全文總結:
本質上,安全問題最終都是靈活性和安全可控之間的平衡。對靈活性追求高就要犧牲一些安全性,反過來也是如此。IT負責人就必須把握好這個度,既能保證安全同時也能方便使用。
解決資安最大的敵人 流動裝置及同事 (下)
https://www.facebook.com/hkitblog