保护企业网络安全,不要忽视数据

如今,各种威胁到企业信息化的行业已经司空见惯,而最近几年企业纷纷转向分析数据,以帮助防止信息泄露。分析可以帮助确定哪些企业信息是最脆弱的,并对那些缺乏数据保护知识与经验的员工进行安全流程的培训。

GreyCastle公司安全首席信息官瑞格·哈尼什表示,尽管如此,许多公司仍然在网络安全方面感到困扰,仅仅是因为管理者不利用它的优势。在这个问题环节中,哈尼什讨论了商业领袖通过数据分析信息,知道企业所面临的最大的网络安全是什么?以及可能会忽略哪些有关潜在威胁。

记者:你认为目前企业面临的大型企业网络安全风险是什么?有什么新的或前沿的技术策略可以有效地帮助保护企业的数据?

瑞格·哈尼什:我们理解企业所面临的威胁有着非常普遍的意义,但绝大多数企业领导人,其中包括主管和经理都不是很愿意接受摆在他们面前的这样的数据。从网络安全的角度来看,我们很难知道发生了什么事情,受到的袭击来自何方,以及袭击者偷走了哪些数据。但是,即使你有这样一个数据,把它在企业决策者面前,而他们自己对此有一些认知偏差和情绪,他们在网络安全决策做得并不是很好

我会在两方面回答你的问题:一、组织的外部威胁变得越来越复杂,而且威胁也会很快的增长。二、在组织内部,如果你是一个组织的首席执行官,那么我问你,“你面临最大的网络安全风险是什么?”,你会告诉我,你认为你不能阻止人们点击链接,只是不能让员工带来自己的U盘感染网站,而这些问题是根据员工自己的经验来应对的。然后我问你,你是怎么做的,你告诉我,“买防火墙?”,那么你其实是一位在许多方面比较无知的首席执行官。组织的最大风险是其员工的行为。

网络安全和隐私遵守:微妙的平衡

记者:移动数据威胁的状态是什么?移动数据也是一个大问题,因为已经发生,那么企业有足够的时间来调整他们?此外,最近几年移动数据随着互联网的发展,其所受到威胁是如何发展的?

哈尼什:我们在移动设备上没有看到很多具体攻击或漏洞,即iOS和Android。但这些攻击发生越来越多,频率正在增加,复杂程度也日益提高,但我认为真正的故事在于其潜力和机会。专家估计,目前全球有50亿到和100亿个设备连接到互联网,2020年将会达到500亿。这相当于地球上每个人拥有7个移动设备,其中包括婴儿和老人。现在想象一下,这些设备中的每一个都有我们的个人数据:例如,我们的身份证号码,甚至信用卡号码,也许还有医疗记录,也许这些都已经连接到其他所有的设备,而这些设备中的每一个都是脆弱的。

人们往往忽略的是,iPhone只不过是软件。如今硬件没有更好的,或者并不比任何其他硬件差。人们与软件进行交互,而软件随处可见。这些天,从汽车到建筑中供暖和空调系统,这些都是由电脑控制。连接到互联网的便利是强大的,这是因为人们在互联网和物联网急于连接设备,而人们往往忽视了网络安全风险。如果人们将其冰箱联网,会有什么与问题?我们并没有要求解决这些问题,直到这些成为问题。物联网并不改变整体的威胁环境,但它增加了网络犯罪的机会。

记者:企业能否利用从合规性审计结果收集的信息来支撑企业的网络安全流程?为什么可以或者为什么不行?

哈尼什:如今,唯一比黑客更可怕的信息审核员。企业需要认识到,网络安全风险来自不同的地方,他们必须了解符合相关的风险。如果在医院,面对CMS或OCR,由于你没有很好地保护健康方面信息,如果一些网络犯罪团伙访问病人的电子病历,这可能一个代价非常昂贵的问题。管理风险的过程已经成为组织的一个基本需求,因为存在着这么多的威胁和漏洞,我们不能解决所有的问题。

如果我在这家医院负责安全,在网络安全方面我有很多事要做,但问题是我应该做什么,什么样的顺序,以及我应该做多少。我们只是不提这些问题。如果我们真的不理解这个问题,我们倾向于把这归于技术来解决,例如采用防病毒,防火墙,入侵检测系统等技术措施和手段。这些技术工作都比较出色,但并没有解决所有的网络安全问题。我认为,75%的网络安全风险是非技术相关因素所造成的。

记者:什么样类型的员工教育和培训技术有利于保护企业网络安全?

哈尼什:我们知道什么是行不通的:没有受过培训和教育的员工不是好员工。然而我们知道,强迫员工去通过蹩脚的训练也是不好的。控制人们的行为是不容易的,特别是没有围绕网络安全的文化。例如这些制造商、保险公司,或银行等,这些组织已经存在了很长一段时间,他们从来没有想过网络安全。如果希望招聘员工,认为进行培训之后,其员工的工作将是完美的,这是不现实的。

如果你了解人脑,并知道大脑是如何工作的,我们如何学习和吸收信息,为什么我们保留这些信息,你可以结合你的教育,再加上测试,以确保教育和培训工作,并定期重复才能记牢,这是我们要求企业思考在网络安全方面人员问题的原因。如果你不尝试去解决这个问题,那它就真的是疏忽了。数据就在那里,我们知道为什么组织开始有了违规行为:由于人员失误或失败。我们需要花更多的时间进行处理。而改变人们行为的方式,必须是长期进行的,而这不是一朝一夕所能解决的。

本文转自d1net(转载)

时间: 2024-11-08 23:08:35

保护企业网络安全,不要忽视数据的相关文章

企业如何保护非结构化大数据

目前企业已经进入全新的大数据时代.在高带宽.移动的.网络环境中工作和生活的我们,会产生 大量的数据,这些都成为大数据的来源,而这些信息很少存在于同一个地方.在几微秒中,信息就能够发布给世界 各地的很 多人.企业的高管门(包括CEO.CIO.CSO等)都必须面对因为大数据带来的风险和安全挑战,并规划好如何去应对他们.本文将讨论如何 看待非结构化数据相对于传统的结构化数据带来的安全风险和挑战以及多层面防护方法.识别非结构化数据与结构化数据安全保护的差异信息通常被归类为结构化形式的或非结构化形式的.不

使用System Center DPM 2012 SP1保护企业关键数据(一)部署SCDP

随着业务发展,现在企业几乎都拥有了自己的中小型数据中心甚至是跨国型数据中心.然而,很多的企业都曾由于硬件损坏.病毒.人为操作失误等原因导致过重要业务数据丢失.因此,建立一套完善的核心业务数据备份恢复系统对保护企业核心数据是十分重要的. Systems Center Data Protection Manager(DPM)是Systems Center产品套件中的一部分. 它能为Windows 服务器提供统一的保护功能,如:SQL Server, Exchange, SharePoint, 虚拟机

九大措施保护企业无线网络安全

所谓无线网络,就是利用无线电波作为信息传输的媒介构成的无线局域网(WLAN),与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份. 目前主流应用的无线网络分为GPRS手机无线网络上网和无线局域网两种方式.应该说,GPRS手机上网方式是目前真正意义上的一种无线网络,它是一种借助移动电话网络接入Internet的无线上网方式,因此只要你所在城市开通了GPRS上网业务,你在任何一个角落都可以通过笔记本电脑来上网.不过,由于目前GPRS上网资费过高,速

IT人员在保护企业数据时应了解的八件事

本文讲的是IT人员在保护企业数据时应了解的八件事,相信最近发生的泄库事件让所有的企业IT管理人员都如履薄冰,如何才能保护企业的敏感信息不泄漏,成了目前企业IT管理人员的必修课.以下是我们总结出来的企业IT管理人员在保护企业数据时应了解的八件事情,以供大家参考: 1.每个企业都有敏感数据.敏感数据是指你不希望未授权的人看到的数据,不论企业大小,每个企业都有这类数据.包括员工工资,银行账户,客户信用卡账户,交易机密和体检记录等. 2.数据丢失时有发生.IT行业几十年来都致力于让用户更快速更便捷地共享

【Hadoop Summit Tokyo 2016】在Apache Hadoop上保护企业数据

本讲义出自Owen O'Malley在Hadoop Summit Tokyo 2016上的演讲,主要分享了面对企业的数据安全和威胁问题,应该如何面对并且最小化攻击面,并且分享了如何保证Hive安全,列举了多种企业需要面对的数据安全威胁,并且分享了如何使用Apache Hadoop上保护企业数据安全.

保护企业内网数据安全,只需七个步骤

在互联网信息时代,科技飞速发展,随着时间的推移,大多数的企业办公都已经全部实现了网络化,任何企业都建立自己的内部网络和数据存储中心,如何进行企业内网数据安全建设是当今非常重要的话题,对企业内网数据安全建设,可从以下七个步骤着手,作为企业内网数据安全建设的参考. 1. 什么数据需防护 一个数据的丢失可能造成重大的损失.对企业来说,首先检查你的数据放在哪儿,被哪些部门在使用,作为管理者必须做到心里有数,一目了然. 2. 设置密码有讲究 系统入口.个人终端入口的密码设置字母.数字等8个以上的字符组成密

移动安全:企业网络安全的又一次大革命

本文讲的是 :  移动安全:企业网络安全的又一次大革命  ,[IT168 编译]一直以来,企业的安全管理主要集中于对其网络边界的保护,直到世界上第一台智能手机的面市,业务流程和数据的重心便转向了企业网络的内部.然而,移动革命的浪潮彻底改变了员工互动.互访和信息共享的方式.虽然一些组织升级了内部网络的防御系统,但是黑客也在寻找其他进入企业网络内部的方式,他们试图把焦点转移到网络边缘,利用移动设备来获得进入的权限. 而安全专家也认为,下一波企业黑客将通过移动设备这条渠道进行网络攻击.据反钓鱼工作组(

教你改善企业网络安全的八个技巧

本文讲的是教你改善企业网络安全的八个技巧,经常听人说安全是一次旅行,而不是目的地.确实是这样,因为在管理网络资产安全时,你总是要领先你的对手(想要窃取.修改和破坏你的数据的网络罪犯和不满员工等)一步.你不能停留在一个地方太久,因为你的对手总是会不断尝试新技术来攻入你的网络并获取数据.在很多情况下,攻击者甚至与网络泄漏没有直接关系,因为最具破坏性的攻击通常是由有授权的内部人员发起的. 好人和坏人总是争先恐后,有时候他们在你前面,有时候你又在他们前面.可能更准确地说,安全是一场竞赛,与扳手腕比赛类似

Radware全新的云安全服务套件可保护企业免受日益增长的网络威胁侵扰

对企业而言,改变就意味着威胁的存在,同时,网络安全威胁和应用的快速发展也为企业带来了更多挑战.为用户提供最佳服务水平的全球领先的虚拟数据中心.云数据中心和软件定义数据中心应用交付和网络安全解决方案提供商Radware (NASDAQ: RDWR)公司致力于帮助企业应对这些挑战,通过扩展的云安全服务产品,使企业能够不断适应日益发展的威胁和正在研发的应用. Radware提供了一整套云防护服务,可以为企业提供其所需的最佳防护措施,同时能够适应不同企业的独特的网络和应用环境.这一全新的云安全服务产品是