当涉及到安全、内部威胁是一个不幸的事实。但是如果你只考虑打击恶意内部人士,你可能会判断错误的风险。
说:“内幕的威胁是更广泛的史蒂夫•杜宾的董事总经理信息安全论坛(安全部队)一个非盈利组织,评估安全代表其成员和风险管理问题。“这不仅仅是害群之马——人故意窃取信息或伤害组织。”
另两种类型的内部威胁,德宾说,疏忽的内部人士,谁都知道安全政策,但是找到一个解决方案,可能最好的意图,完成工作,偶然的内部人士。疏忽的内幕,面对一个同事需要一个大文件,可能会未经批准基于网络的文件托管服务。意外内幕可能是一个经理发邮件员工绩效考核和miskeys电子邮件地址。由于自动完成的魔力,邮件风落入坏人之手。
[相关:5信息安全发展趋势,将会主导2016年]
”这两个其他部分在内部可能有更重大的影响和安全部门和组织可能更难以控制,”杜宾说。
当然,监管机构和客户不关心数据泄露是一个恶意的演员的结果。
时时在等待着事故发生
“这使得生活困难,”杜宾说。“防范意外事件几乎是不可能的。你必须专注于训练和意识。时疏忽的内部人士,它归结为交流的政策和程序。”
[相关:路战士是黑客的首要目标]
国际垒球联合会发布的一份简报,管理内部威胁本周,其成员,指出内幕的威胁加剧了人们变得越来越移动和高度关联。几乎每一个工人现在有多个相互关联的设备,可以妥协的信息立即在规模,根据安全部队。不再局限的影响的论文有人可以携带。与此同时,社会规范变化,侵蚀雇主和雇员之间的忠诚。
减少你的弱点形形色色的内部威胁,杜宾说开始的风险评估。
“你真正需要做的是漫长和艰难的看着可用的信息,”他说。“分类。看看会发生什么,如果迷路。”
[相关:克服顽固的高管为了安全]
更有价值的数据,你应该实施更严格的控制。然后你意识和培训项目。你需要和你的员工交流什么真正有价值的。
也是时候真的研究所最小特权框架如果你还没有,限制信息获取那些真正需要它的人。包括高层管理,杜宾说。
“我可能是老板,但是我可能只需要更高层次的企业财务信息,”他说。“此外,我不需要为任何人看到绩效考核实际上并不直接向我汇报。”
它总是一个信任的问题
他说,采取这些步骤,但认识到最后,一切都是要挂在信任。
“许多因素在增加组织的内部人士的威胁,和技术控制是有限的,”杜宾说。“打击的威胁,组织必须投资一个更深的理解的信任和努力改善内部人士的信任。”
但是相信双向流动,他警告说。同时努力确保你的员工是值得信赖的,组织也必须向员工证明它是值得信赖的。例如,德宾说如果你监控员工的行为,它应该披露。
“你应该很开放什么监视你,”他说。“如果你工作在一个交易大厅,你知道你的行动都记录下来。这是已知的和接受。”
另一方面,如果你监控员工电子邮件流量没有沟通这一事实或披露政策,破坏员工的信任。他说,这很重要,因为尽管内部人士可能构成威胁,你的员工也有可能你的第一道防线,如果他们理解风险和责任对维护数据。
“关键是真正关于开放、信任和沟通,“杜宾说。“确保你当前和适合你做生意的方式。”
这个故事,“防御内部安全威胁挂在信任”最初发表的首席信息官 。