员工安全意识难提升?试试 “可接受使用策略”
据Verizon发布的《2022年数据泄露调查报告》(DBIR)指出,2022年数据泄露事件中82%的违规行为涉及人为因素。无论是凭证丢失、网络钓鱼、误用等简单的错误,人为因素在安全事件和数据漏洞事件中始终扮演着非常重要的角色。
当前,企业面临的网络安全挑战越来越严峻,挖矿、钓鱼等攻击行为严重威胁着企业的安全。为了应对这一局面,企业通常会采用配置网络安全产品、制定企业信息安全条例、迁移公有云等措施建立企业安全防护体系。实际上,企业信息安全最大短板是员工的安全意识,不提升员工的信息安全意识,企业花费大量人力物力所搭建的安全防护体系就像是马奇诺防线一样一触即溃。因此,企业必须解决工作场所的网络安全意识,并确保员工配备正确的指导和资源,以帮助最大限度地降低组织的风险。
为了提升员工的信息安全意识,企业通常会采用培训、安全讲座等方法,有的企业甚至会将安全与绩效挂钩,用赏罚分明的方式来调动员工的积极性。其实,想要提升员工安全意识,还有一种更简单却又更重要的方式,那就是制定可接受使用策略。
什么是可接受使用策略?
可接受使用策略的简称是AUP(Acceptable Use Policy),它概述了指导员工使用公司信息资源的准则和规定,是信息安全策略的子集。从IT角度来看,AUP概述了企业数据、设备和网络的可接受使用,在混合办公场景中,该策略还应该包括在个人设备或家庭网络上工作的条款和条件。除此之外,AUP的对象还应该包括客人、临时工、承包商和其他使用公司系统和网络的非员工成员。
AUP所制定的条款和条件往往比较简单,例如不使用公司电脑或笔记本观看色情内容等,但对于提升员工安全意识方面仍然十分重要,签署AUP可以有效让员工清楚规则和违反规则的后果。
然而,就像道路上的速度限制一样,即便有这些限制,人们还是会有包括超速、酒驾等违法行为。对此,高德纳首席顾问亚历克斯·迈克尔斯表示,人们清楚地知道网络安全的重要性,但他们并不会将网络安全视为个人的责任,因此,他们不会严格遵守安全部门提出的各种要求。实际上,这也是网络安全威胁越来越严峻的原因之一,企业无法让每一位员工都能具备足够的安全意识,而一旦攻击者利用了员工的疏忽,就会造成严重的后果。
对此,如何能够让员工进一步了解安全的重要性是企业关心的重点。安全部门在编写AUP时,通常会采用大量的技术术语,亦或是包含例如“你不应该”等短语,这些用语虽然严谨,但在员工阅读或执行相关条款时,会产生抵触心理。对此,迈克尔斯表示,很多安全领域的人都是在安全领域长大的,但安全领域的规则不适用于所有人,当安全部门在制定相关策略时,应该试图改变或重新构建安全观念,使规则尽可能的让人接受。
远程办公改变了AUP设置规则
AUP通常围绕IT安全策略设置相应规则,例如密码、身份验证程序和公共Wi-Fi的使用。它还可以用于在社交媒体网站上设置行为标准。然而,随着远程办公场景的增加,AUP的设置也需要重新评估。
信息技术研究集团安全研讨会高级主管弗兰克·萨金特(Frank Sargent)表示,在过去,AUP可通过技术控制来进行落地实施,例如防火墙等等。当下,员工远程办公场景正在增加,使用AUP可能会带来安全、合规以及税务方面的影响。因此,企业需要在跟上远程办公场景下所带来的新需求。
另外,远程办公还会带来以下安全风险。首先是业务系统检测,目前,实现远程办公的一个主要方式是通过虚拟专用网络(VPN)接入内网,部分企业紧急搭建的VPN或临时上线的新系统没有经过足够的安全风险测试,致使安全性不高,一旦有病毒入侵,通过这种方式的远程办公的设备都会遭到病毒的侵袭。
第二是办公终端防护不足,部分员工在远程办公时无法使用规定的办公电脑来处理工作,而他们自有设备可能会存在漏洞或病毒库未及时升级等原因,致使安全漏洞更新滞后,在面对网络攻击时就会遭重。
最后是员工安全意识,部分员工安全意识不强,电脑等设备设置的密码容易被破解,亦或是保密意识薄弱,办公文件和个人文件不分隔,重要文件不加密,导致商密泄露。
萨金特表示,一个组织应该学习这些风险,并根据风险不断调整相关政策和控制措施,同时还要调整评估风险的方式,使风险达到组织能够接受的程度。
如何制定可接受使用策略?
一份优秀的AUP需要可审计和可执行,并在保护员工的同时,不让他们感觉公司很严苛。因此,制定AUP时就需要使用良好的措辞。迈克尔斯认为,AUP面向的是员工,不是从事安全工作的技术人员。然而,很多组织在制定AUP时往往会踏入一个陷阱,那就是只负责策略的制定,不考虑收集反馈并检查是否顺利。
成熟的信息安全策略是可以向人力资源部或业务中的其他职能部门提供反馈,并促使安全部门与其建立更紧密的合作关系。然而,迈克尔斯表示,许多公司仍然在努力做最基本的要求和规定,并没有关注员工的反馈意见和遵守程度。“他们更关心形式,而非真正的对象。”迈克尔斯表示。
因此,制定AUP应该尽可能的清晰、简洁、易于理解,避免全篇的技术废话和法律术语,这不仅能够让员工更清楚的知晓其所应该承担的义务和责任,也能够让他们乐于遵守。政策起草专家刘易斯·艾森表示,任何一份策略想要真正的落地实施,都需要采用尊重的语言。与其说“使用笔记本电脑前需要CEO的认可”,不如换成“笔记本电脑可以在CEO的认可下使用。”简单的逻辑交换使这句话变得截然不同,员工的接受程度也会更高。
当前,不少UP主发布了讽刺企业不合理规定的视频,例如出差必须购买二等座、办公电话必须在经理的许可下使用等等。这些不合理规定的出现往往是由于制定者并没有换位思考,单纯从企业运营或财务方面制定规则虽然能够对员工起到限制作用,但从企业长远角度发展来看是弊大于利的。对此,艾森表示,如果某些条例看上去像是在父母在吼叫孩子,那么这款条例就会得到与之相同的结果。
确保可接受使用策略的执行力
西方提出的三权分立能够有效平衡权力资源配置,立法、行政和司法三种国家权力分别由不同的机关掌控,相互制约制衡。然而,不少企业并没有根据三权分立的思想制定相关规则,有些部门既是规则的制定者,也是规则的执行者。这使他们的权力过大,从而导致相关政策落地后无法得到良好的结果。
安全团队有专门的资料来确定违规行为以及违规行为的风险级别(从轻微到辞退)。但是,相应的纪律处分应该交由人力资源部等,一方面,人力资源部有处理此类问题的程序,另一方面,安全团队应该推动人力资源部了解有关违规的知识。如果AUP不可执行,那它就不值得白纸黑字的呈现出来。
Datarisk Canada首席执行官克劳迪乌·波帕(Claudiu Popa)表示,当前的人力资源部门需要对技术、政策进行了解,安全部门有义务推动人力资源部接受适当的安全培训。除此之外,还需要人力资源人员接受全和隐私意识培训,这可以有效帮助人力资源部了解他们所执行规则的原因和内容。另外,这也是一种良好的监督行为,使AUP更具执行力。
让员工更具责任感
企业文化是确保组织传承的精神力量,这种力量不同于组织架构和管理技能,而是更趋向于信念和号召力。想要让员工能够进一步提升安全意识,就要让员工对安全和业务具有责任感,也就是将安全融入到企业文化中。
Gartner的PIPE框架正是为了做到这一点,从意识转向行为和文化。其中一部分涉及使用“网络判断”,这是Gartner创造的一个术语,它可以帮助员工在缺乏安全或风险管理领导的情况下做出明智的风险决策。
除此之外,还可以通过减少密码应用来让员工尽可能的遵守规则,例如,当涉及到重点区域时,可要求员工每6个月更换密码,其他区域可以选择适当放弃密码,通过生物识别或多因素认证等方法。在这方面,技术起到了至关重要的作用,例如使用机器学习和AI来推动决策,并提供针对性的培训,让员工了解在特定情况下应该做什么或不应该做什么。
当一个组织正在更新或发展其AUP时,重点不应该仅仅是员工不应该做什么,而是整个组织可以做什么来创建安全文化。
专家观点
乐信集团信息安全中心总监刘志诚表示,安全追求纵深防御,从理论上来讲,安全宣导也是这样。全员教育建立文化氛围;根据岗位针对性教育建立个人关联性;应急演练建立实践意识;威慑案例建立责任意识。从心理学的角度来讲,这是一个逐层递进的方式,很多企业只选择1-2个层面是不够的,只有将它们系统化的运作起来,才能达到相应的效果。
信息安全专家csion表示,关于提高员工安全意识,可以通过以下五种方式来实现:
一、建立用于咨询的电子邮件地址。企业可以通过建立一个电子邮箱,使员工可以向其发送有关网络安全的任何和所有事项的问题。此举不仅可以鼓励员工提问,还可以让员工发送可以邮件,以保障员工不受钓鱼邮件的攻击。
二、建立预警系统。企业可以建立一个动态的、主动的早期预警程序,并向整个公司发出警报,让员工知晓某些恶意活动正在进行中。这可以有效加强员工的警惕性,还有助于识别网络犯罪分子的攻击手段和相关技术。
三、组织讲座和培训。与专家的交谈可以大大提高员工认知信息安全的各个方面,同时,还可以针对不同的人群,雇佣不同领域的专业人员进行分享。
四、举办竞赛,员工竞赛是帮助灌输强大的网络安全习惯的有趣方式,培训或讲座的材料在进行测验的同时,不仅可以奖励获胜者,还可以让您的组织更好地了解员工的网络意识。
五、制定网络安全策略。制定相关策略,并详细说明帮助公司及其员工抵御网络攻击的最有效方法。这不仅便于阅读,还可以让员工知道正确对抗网络攻击的方法。
某信息安全专家表示,信息安全管理体系的落地需要安全培训。安全培训是一项应持续的长期活动,不仅要针对不同对象分成不同的培训,还可以定期组织面向管理层的信息安全标准、法律法规解读的管理培训;面向全员的信息安全意识普及性培训;针对IT相关技术人员的信息安全技术知识的专业培训;面向信息安全运维和管理人员提供的信息安全相关资质认证培训(CISSP、CISP、ISO27001审核员)等等。建议企业对培训过程、结果进行记录,可作为信息安全体系建设的记录和有效性测量的依据。
结语
良好的AUP能够有效保护员工和组织安全,但是制定AUP需要从多个角度来综合考量。只知道制定规则,不懂得维护规则或是确保规则的执行度是毫无作用的,企业不应制定那些愚蠢的、无用的规则,员工也可以勇于提出中肯的、一针见血的建议。
参考文献:
How acceptable is your acceptable use policy?——Vawn Himmelsbach
齐心抗疫 与你同在