到目前为止,许多公司的部门正在通过一系列战略会议来确定明年的预算。首席信息官及其董事肯定会参与其中,特别是在与网络安全计划有关的情况下。虽然重要的是要查看哪些系统已经到位,以及哪些最先进的技术应该用于任务关键型网络,但阻碍下一个系统的一个成本效益高的要素经常被忽视: 培训。
这是冷酷的现实。如果员工没有实践久经考验的安全计算机实践,那么任何新型的防病毒,反垃圾邮件或防火墙系统都不会阻止复杂的黑客渗透到公司的数据库中。组织通常会从其员工的无意,非恶意但不安全的活动中被黑客入侵。这里只有几个:
1.拥有公开姓名和出生日期的Facebook公共帐户的员工可以为网络掠夺者提供工具,以潜在地获得社会安全号码以及其他基本信息,以成功渗透到您的企业和个人帐户中。
2.出现在公共场所 (例如会议厅或酒店) 的影子wi-fi帐户可以捕食设置为连接到最近的开放网络的移动设备。它们类似于信誉良好的接入点,但针对的是商务旅客,因此他们会无意中在iphone,ipad或笔记本电脑上公开所有公司信息。
3.多个帐户的密码通常很难记住,因此许多信息都将其记在笔记本上或计算机或电话上未加密的文件上。虽然这是可以理解的,但结果实质上是向网络窃贼发出了公开邀请。
4.员工收到他或她不认识的人的电子邮件,按指示单击链接,恶意软件立即渗透到公司的网络中。这不是队友的恶意行为。
最后一点提出了一个重要的要素,应该成为任何公司网络安全培训计划的一部分: 每个组织都容易受到攻击。一些经理会认为他们的公司太小,以至于虚拟小偷无法考虑攻击。恰恰相反。较小的公司通常更容易成为目标。一个总部设在海外的有组织犯罪集团只需点击鼠标,就可以追捕数百万家小企业,并在几乎看不到眼睛的情况下获得巨大的回报。
公司需要向团队成员强调安全计算机实践的重要性,这些实践远远超出了在办公时间内浏览的适当网站。员工的网络安全活动应得到与向他们展示如何在下班后安全离开办公楼相同的关心和关注。
现在,所有这些并不意味着组织应该忽略其网络架构,安全补丁,灾难恢复策略和威胁管理系统。所有这些要素对于有效的信息保证战略仍然至关重要。但是,如果不采用有效地提醒和奖励员工谨慎的计算机实践的培训计划,将会给公司阻止下一个威胁的能力留下一个巨大的漏洞。