Microfocus 将此类漏洞定义为“源自组织内部的网络安全风险”,此类漏洞可以采取多种形式——从员工意外成为网络钓鱼诈骗的受害者,到员工故意窃取数据以与公司外部的参与者共享。
与恶意软件、勒索软件和拒绝服务 (DDoS) 攻击等外部威胁相比,内部威胁往往不易被发现。 然而,ProofPoint 的研究报告显示,与 2021 年相比,2022 年内部威胁事件增加了 22%,平均攻击成本高达 1538 万美元。
正如这些数据所表明的那样,内部威胁的影响可能会付出非常高昂的代价。 更重要的是,除了经济损失之外,客户数据泄露和声誉受损也会给内部威胁的受害者带来严重后果。
那么,随着内部威胁实例的数量和影响不断增加,企业如何防止数据泄露到其参数范围之外呢?
促进员工信任和隐私是避免内部风险的最佳方法
嗯,根据微软新安全报告— 详细介绍了 300 多名安全与合规专业人士的调查结果 —建立员工信任并优先考虑隐私是企业应对这一流行病的最佳方式。 然而,该软件公司还强调,这些措施只能构成更广泛的整体网络安全战略的一部分。
“根植于信任的雇员与雇主关系可以帮助建立内幕风险防御的第一道防线。”
该调查收集了采用分散、不断发展和整体网络安全方法的公司的回应,前者缺乏内部风险计划,而后者已经制定了全面的风险预防策略。
在被问及内部风险防范的挑战时,72% 的整体型公司将员工信任视为首要任务,而分散型公司的这一比例为 38%;而 66% 的整体型公司将员工的隐私权和公民自由放在首位,而分散型公司的这一比例为 66%。 43%的分散公司。
但这些结果对于应对潜在内部风险的企业意味着什么? 根据该报告,通过建立更牢固的雇员与雇主关系,并信任您的员工帮助保护您的公司,可以保证更高级别的安全。
“如果您的员工和部门接受并接受有效的教育,那么对您的组织的影响可能是深远的。”
此外,通过采用积极的组织结构来识别内部威胁的根本原因,而不是识别和惩罚个人,员工的信心也可能因此得到提高。
考虑到所有因素,这确实可以成为您整个团队的胜利—但这并不是微软建议采取的唯一行动。
微软的调查还揭示了什么?
根据微软最近发布的消息,除了信任你的团队并注意他们的隐私之外,教育他们了解内部威胁的风险应该是首要任务。
该报告解释说,拥有成功风险管理计划的公司依靠员工作为第一道防线,其次是其他检测工具,例如VPN和防毒软件。
具体来说,通过详细说明内部威胁对公司、员工和工作安全可能产生的影响,并提高对与竞争对手共享信息、不当数据泄露和无意数据共享等重要问题的认识,可以减轻主要风险因素。
这种情况也不应该只发生一次。 微软还强调经常举办培训课程的重要性,以保持围绕网络安全的对话开放,从而减少网络疏忽的情况。
这些只是您的企业可以用来应对威胁形势的一些方法。 看看 Tech.co 的顶级互联网安全提示发现其他有价值的方式来保证网络安全。
