最近的Twitter黑客事件表明,公司必须继续加强其安全基础设施中最关键的部分——员工队伍。虽然网络安全专业人士对社会工程的威胁发出警告已有一段时间了,但大多数网络安全项目都专注于工作的技术层面——确保公司的系统和产品安全。随着企业在技术上变得更加安全,它们在劳动力方面也必须变得更加安全。这需要网络安全专业人员强大的领导能力和参与技能。
Twitter的黑客攻击表明,员工的安全漏洞可能会给公司带来实实在在的威胁,打击了客户信任的核心,即他们的信息是安全的,Twitter账户背后的人——尤其是知名人士和实体——都是他们自称的身份。
在亿康先达,我们看到了对这些以人为本的网络安全技能的稳步赞赏。各行各业的领导者一直要求我们帮助他们寻找知道如何跨业务部门协作并协助实现业务目标的首席信息安全官(CISOs),而不是简单地充当技术规则执行者——我们称之为“No博士”CISO。
这个方向的下一步是寻找能够推动整个公司的根本文化变革并培养安全文化的ciso。要做到这一点,需要良好的领导能力和参与能力,而用于培养这种文化的项目需要的不仅仅是例行的、敷衍了事的安全简报。
当我回想起这次泄密事件时,我想起了自己在军队里的时光,军队不得不应对那些以间谍活动的形式,顽固地窃取情报的行为。针对这种威胁,军方从服役的那一刻起就对士兵进行训练,让他们了解间谍活动是什么样子的,这样他们就能在最早期识别间谍的请求,知道如何应对胁迫企图,以及在哪里报告。年度简报可能给人一种陈腐和肤浅的感觉,但军方用间谍的真实故事以及他们对美国造成的损害为简报增添了活力。这种培训渗透到工作场所,例如,基地周围的海报。驻扎在海外的部队甚至可以在武装部队网络电视台上看到定期的“信息购物”,向人们灌输这些原则。对间谍威胁的意识不仅是每年的要求,而且在员工中根深蒂固。
正如我的朋友埃里克·奥尼尔(Eric O’neil,他帮助扳倒了最早的网络间谍之一罗伯特·汉森(Robert Hanssen))喜欢说的那样,“没有黑客,只有间谍”,以说明黑客只是间谍活动的自然进化。企业可以从军方那里学到很多东西,军方一直面临着间谍活动的持续威胁,并开发了一些项目,以培养一种普遍的安全文化,尽管这些项目并不完善。这需要网络安全专业人员采取全面的安全措施,认识到他们建立的强大堡垒永远无法阻止一个坚定的攻击者,他会说服内部的人让他们从后门进入。更关注人的因素将有助于保持后门关闭和锁定。
搜索“”
