“易受攻击的员工的7种习性”
旧习惯很难改掉。 结果,可靠的员工每天在计算机上做出无辜的行为,使组织面临风险。 根据intermedia最近的报告,93%的员工至少以一种方式从事数据不安全的活动。 23%的受访者承认,如果这对他们有利,他们将从企业获得数据。 同样令人惊讶的是,it团队、终身员工和c类管理员会养成不良习性,从而使组织面临安全威胁。 奥地利航空空零部件制造商facc的首席执行官对这种情况很熟悉。 他因虚假ceo电子邮件诈骗导致企业损失4700万美元而被解雇。
企业在投资新的安全工具和技术以防止外部威胁之前,必须将识别和补救内部风险的业务置于更高的优先级。 以下是潜在危害公司的最常见员工特征。
1 .他们缺乏教育和训练。
新员工加入组织后,通常可以访问计算机、公司电子邮件地址和一系列用于执行日常操作的应用程序。 但是,关于如何最好地采用这些资源的培训一般被放在一边。 公司必须提供前期教育,以防止威胁缺乏警惕的员工的许多复杂威胁。
认真保护自己免受互联网威胁的公司领导知道,在入职期间只接受一次培训是不够的。 定期更新it和安全很重要。 这些重要措施有助于从一开始就养成良好的习性,通过定期提供新闻和培训课程来补充基线。
2 .他们选择了弱密码。
据splashdata称,全年最常用的密码仍然是123456和password。 不是选择安全性,而是容易被方便吸引。 创建并记住新密码无疑是一个痛苦的事件。 因此,许多员工在多个帐户上重复使用相同的密码。 但这当然是一个广泛的目标。 有可能一下子侵入所有员工的账户。
与从事其他领域的人相比,从事技术领域的人可以访问越来越多的应用和服务了。 没有单点登录( sso )服务。 对普通人来说,记住的密码太多了。 sso为客户提供了访问所有web应用程序的门户。 员工登录门户网站,sso登录该客户拥有权限的所有应用程序。 管理所有这些客户名称和密码不需要依赖笔记和excel电子表格。 由于客户只需要记住一个密码,因此通常可以比所选密码更长、更强。
.他们共享登录认证信息。
在这里,工作人员也成为便利的受害者。 如果同事想要快速轻松地访问特定新闻,公司通常依赖共享凭据,而不是为每个客户创建唯一的个人登录名。 在最近的工薪调查中,约50%的受访者与多位顾客共享认证信息。 这使得企业更容易受到数据泄露的影响。
理想情况下,所有参与企业的员工都必须接收日常运营所需的服务和应用程序列表。 人力资源部和it部门在入职期间必须合作,为客户和软件集创建单独的帐户。
但是,这是现实世界,几乎不能不共享账户。 例如,公司的脸书和推特帐户可能有多人可以访问。 sso服务支持安全共享凭据,将共享帐户的采用链接到个人,但为这些同一客户隐藏实际密码。 大多数情况下,只有it管理员知道密码。 当人们加入、移动或离开组织时,可以很容易地取消访问权限。
4 .他们不联系it就安装web应用程序。
影子it是当今员工队伍中长期存在的问题。 当员工将未经授权的应用程序下载到员工的计算机或移动设备上时,就会发生这种情况。 如果未经it批准订阅作为服务的软件( saas )应用程序,也会发生这种情况。
多名员工每天在员工的电脑上粘贴8个小时以上,开始将员工工作站视为自己的个人设备。 他们的意图可能是无害的。 您可能希望下载流行的音乐流媒体应用程序和客户文件共享工具,以保存和协调新闻。 但是,如果不事先咨询it部门,就会出现问题,企业面临风险。
有充分的理由证明哪个企业应该允许特定的应用而不是其他应用。 这包括维持生产力,以确保整个办公室及其部门之间的一致性,防止恶意软件和其他安全威胁,并将风险维持在可接受的水平上。 最终,人们想按照自己想要的方式工作。 it的作用发生了变化。 这个团队现在可以为业务提供建议,而不是作为技术守门员了。 如果it部门认为成本级产品不安全,则必须提供可在人们希望采用的各种设备上运行的替代方案或多种选择。
5 .他们把企业文件放在了个人云存储里。
将商业和娱乐联系起来总是冒险的。 技术问题也不例外。 将企业文件保留在个人文件共享应用中,凸显了云计算时代最近的热点。 虽然文件共享应用程序(如dropbox和google drive )有助于简化共享文档的通信和版本控制,但这些服务一般不具备安全协议、审计和合规性功能。 简单地说,它建立在客户方便的前端和中心位置。
敬业的员工可以将工作文件放在个人文件共享应用程序中,以便他或她在下班后或周末可以远程工作。 个人动机值得称赞,但这是高风险的行为。 现在选择以客户为中心的处理方法可能会节省几秒钟的时间,但会给企业带来越来越多的成本。 员工必须记住企业最大的好处,认识到潜在的后果。
6 .他们在跳槽后访问企业数据。
如果员工离职或离职,企业应采取的保护第一步是确定员工对所有平台和web应用程序的访问权限,然后立即取消。 调查显示,89%的员工在离开企业后仍可以访问至少一个应用程序或私营企业的数据。
即使人们在组织内移动,担任不同的角色,也需要访问不同的应用程序。 企业必须开发强大的joiners、movers leaves(jml )流程,以保护企业数据免受非法访问。
7 .他们没有密切注意电子邮件。
即使他们不想承认,很多人也经历着亲密通话和心碎的所有回答的恐怖故事。 鼠标的错误点击会与无意的接收者共享新闻,更糟糕的是,将敏感新闻放在错误的人手中,从而威胁到整个组织。 目前,这种类型的错误还扩展到了文件共享服务。 现代造假者通过dropbox和谷歌云硬盘等服务授予访问权限,或与错误的人共享文件。
并不是所有的数据泄露和网络威胁都是可以预防的。 但是,一家公司可以通过教育和资源武装员工,消除不良的计算机习性,更自信地相信企业及其数据的安全性。
下一篇:“确实没有发生神奇宝贝 Go”
免责声明:亚洲报业网是一个完全人工审核编辑的开放式分类目录网站,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站将予以删除。
心灵鸡汤: