在任何一个时刻,总会有一些用户在网络上做一些他们不应该做的事情。你的公司是否有一款可靠的识别安全程序来让他们意识到他们的行为呢?
Netwrix最近的一份关于“系统管理员最讨厌的十件事情”调查发现“愚蠢的用户”是排在第一位的。有将近一半的这些调查显示系统管理员所支持的那些用户经常会让他们恼怒。我同意对IT来说用户是很大的一块挑战,对安全来说更是如此。不过对于这些用户不清楚要做什么,或者不知道他们的预期,经常做一些“蠢事”,这到底是谁的过错呢?是用户的错吗?毕竟他们是成年人,他们知道应该做什么,不是吗?抑或这是管理层的错,因为他们没有提供给员工适当的培训?或者这可能是IT的错?
最后,是谁的错都不重要。需要的是IT和安全专家,以及管理层的强力支持——即人力资源的支持——来对每个人的成功提供保障。以下列出了能体现可靠识别安全程序的一些元素。
它能设定期望值
它能周期性持续地为所有人考虑安全问题
让安全成为个性化的事情,并且对行为友好者提供奖励机制
但是,这些特有的东西通常都是缺少的。如果你要去做适合的识别安全程序的话,确保这个计划有清晰的优先级、有其背后的商业原因,以及要不停地运转。仅仅是政策和公告对于长远来说并不是好事。一个识别安全程序可能简单到只是30-45分钟的周期性的邮件或者视频。或者是使用比较正式的内部或基于云的应用来提供深入的课堂式培训,同时提供一些小测试给员工来保证他们都理解了所学的信息。最后,识别安全程序需要根据你特殊的企业文化和需求来进行定制。最终的目的应该是让人们保持知情,并且与员工之间建立信任关系。
市面上有很多资源和工具可利用来发展IT安全政策。有一些是免费的,有一些是收费的,其中我最喜欢的是:
The Security Awareness Company
Green Idea
Wombat安全技术
DoD网络钓鱼意识训练
NIST特别出版物800-50建设信息技术安全意识和培训计划
建立并且贯穿始终
当你建立起你的识别安全程序之后,请记住识别并不是最终的安全解决方案。就像补丁管理和漏洞测试一样,这只是安全的一小部分。在全球范围来说大部分的侵入都是从用户级别开始的,你需要做得是对用户级别做一些事情来保证Windows环境是在控制范围内的。
这一切都是从自我意愿开始的。不要在IT识别安全程序里面执行程序化的任务。不要成为人潮中一员并且把钱滥用到只有表面功夫的安全识别上面去。开发一个程序并且像对待关键业务功能一样对待它。这需要从一开始建立这个程序并且解决困难,让HR介入处理他们能处理的事情。设置计划的目标并且让自己和其他人保持贯穿始终并且对其负责任。
如果你做出了适当的努力,可能可以减少用户端的风险。即使当网络出现问题或者侵入发生的时候,一个强大的信息识别安全程序可以让你展示——以及防御——你所做的一切和所做的选择。
本文转自d1net(转载)