網(wǎng)絡(luò)安全的人為因素：隱私，道德，可用性和責(zé)任與團(tuán)隊一起，小編一直是RSA年度會議的熱情支持者。在這里，頂尖的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者和社區(qū)同行匯聚一堂，交流最大，最勇敢的想法，以推動行業(yè)向前發(fā)展。小編喜歡RSA會議以一個關(guān)鍵主題為基礎(chǔ)，該主題以行業(yè)運(yùn)動，貢獻(xiàn)或想法為基礎(chǔ)，這可能會極大地影響或破壞現(xiàn)狀。這有助于像我們這樣的專業(yè)人士專注于影響行業(yè)的最先見之明的趨勢。今年的主題是“人為因素”，我非常重視這一主題。那么如何制定以人為本的網(wǎng)絡(luò)安全策略？

信息安全專業(yè)人員經(jīng)常將IT的人為因素解釋為“人為錯誤”，這是公司數(shù)據(jù)安全機(jī)制中最薄弱的環(huán)節(jié)。你不能怪他們。在許多情況下，網(wǎng)絡(luò)安全事件是由人為錯誤，惡意意圖或無知引起的。實際上，根據(jù)IBM的一項研究，人為錯誤是95%的網(wǎng)絡(luò)安全漏洞的主要原因。因此，有意義的是，該行業(yè)正在越來越多地投資于將這些人為風(fēng)險降至最低的技術(shù)，策略和標(biāo)準(zhǔn)。這是提供行為監(jiān)控，內(nèi)部威脅檢測和數(shù)據(jù)丟失防護(hù)工具的技術(shù)旨在減少惡意和意外人員的威脅的主要原因之一。

但是，這與今天的數(shù)據(jù)安全形勢所面臨的顯而易見的困境并沒有關(guān)系。取而代之的是，我將從人類方程式的另一面來看：我們應(yīng)該保護(hù)的用戶。人不僅僅是您可以強(qiáng)制遵守安全最佳實踐的資源。我們有感覺，擔(dān)憂和需求。有效的安全策略將需要解決這些人為因素。

例如，如果您實施了強(qiáng)大的密碼安全策略卻未解決人類尋求便利的趨勢，人們將找到一種繞過該規(guī)則的方法。他們將以純文本形式記錄下來，將其保存在瀏覽器中，或者開始在未經(jīng)批準(zhǔn)/個人站點上重復(fù)相同的密碼。您將需要為他們提供有效的選項，例如SSO，密鑰庫或其他工具，以輕松管理其密碼。

同樣，讓我們考慮工作場所監(jiān)視。許多公司使用這些服務(wù)來提高生產(chǎn)力并減少內(nèi)部威脅和數(shù)據(jù)泄漏。但是，如果您忽略員工的隱私權(quán)，您將面臨法律后果的風(fēng)險，更不用說文化裂痕，信任喪失以及許多其他問題，這些問題將超過您可以實現(xiàn)的任何安全利益。換句話說，您需要采用不僅可以有效提供功能安全性而且可以實現(xiàn)包容性的解決方案和策略。讓我們看一下這是如何完成的。

隱私

近年來，由于引入了GDPR，CCPA和其他類似法律，數(shù)據(jù)隱私已成為網(wǎng)絡(luò)安全專業(yè)人員之間討論的話題。一方面，您需要保護(hù)客戶的數(shù)據(jù)，知識產(chǎn)權(quán)和商業(yè)機(jī)密免受外部或內(nèi)部威脅。同時，您有義務(wù)維護(hù)員工的隱私。解決方案是使用自治系統(tǒng)，例如員工監(jiān)控，UEBA和DLP系統(tǒng)，以實現(xiàn)端點安全，但這樣做不會無意間捕獲員工的個人數(shù)據(jù)并使自己暴露在侵犯隱私的環(huán)境中。例如，當(dāng)用戶訪問銀行的網(wǎng)站或訪問其個人電子郵件帳戶，使用匿名化或智能中斷功能來編輯PII / PFI / PHI或其他私人數(shù)據(jù)時，暫停監(jiān)視和擊鍵記錄。這可能有些棘手，并且需要具有此類功能的現(xiàn)代解決方案。

倫理

盡管數(shù)據(jù)安全無疑是一件好事，但它也是一個細(xì)微的問題，可能使公司面臨道德困境。畢竟，您是在保護(hù)組織，客戶和員工免受災(zāi)難性的數(shù)據(jù)丟失事件的影響。實際上，事情并非如此。但是，在保護(hù)客戶數(shù)據(jù)時，很容易混淆動機(jī)。

例如，員工可能想知道為什么您要實施特定的安全措施或監(jiān)視計劃。是因為您想提高工作效率嗎?您是否真的需要掃描他們的電子郵件來實現(xiàn)這一目標(biāo)?盡管數(shù)據(jù)安全的目標(biāo)是合乎道德的，但防御措施仍需要適當(dāng)。找到監(jiān)視和安全的目的并建立邊界和透明協(xié)議是避免此類道德陷阱的關(guān)鍵。

　　易用性

安全性不應(yīng)損害可用性。相反，它應(yīng)該能夠?qū)崿F(xiàn)自由和創(chuàng)造力。幸運(yùn)的是，隨著機(jī)器學(xué)習(xí)/ AI，NLP，基于上下文的分類以及其他軟件的開發(fā)，公司可以平衡安全性和可用性。但是，您仍然需要花費(fèi)時間配置這些解決方案或使用足夠的數(shù)據(jù)來培訓(xùn)它們，以最大程度地減少誤報。此外，如果您阻止工作流程而沒有提供替代解決方案，則安全計劃的成功將受到損害。例如，您可能認(rèn)為阻止使用云驅(qū)動器是明智的預(yù)防措施。但是，如果您不允許其他渠道（例如私有云）或“類云”解決方案（例如Transporter或Space Monkey）使用，則員工很可能會使用電子郵件，USB驅(qū)動器或不太安全的方法來共享這些文件，

　　責(zé)任

數(shù)據(jù)安全不僅僅是安全專家的責(zé)任。為了取得成功，數(shù)據(jù)安全優(yōu)先級必須是一項集體努力，應(yīng)擴(kuò)展到公司的各個級別。的確，如果僅依靠安全專業(yè)人員和技術(shù)，從選舉黑客攻擊和深層偽造到信息武器化的所有內(nèi)容都無法解決。

對于一個小組來說，這個問題太大了。因此，作為安全專家，我們可以做些什么來推動大眾參與？最重要的是，我們可以宣傳數(shù)據(jù)隱私最佳做法的重要性。

像RSA這樣的組織在傳播這個詞方面做得很出色，但我們也都可以提供幫助。只要有機(jī)會，就對人們進(jìn)行教育和培訓(xùn)。諸如避免網(wǎng)絡(luò)釣魚電子郵件，檢測社會工程學(xué)的跡象，在線承擔(dān)責(zé)任，使用基本保護(hù)措施以及報告垃圾郵件等技能都是我們都可以在我們的社交渠道上分享的主題。我們分享的越多，我們創(chuàng)造的意識就越多。

當(dāng)用戶做錯事時，容易推卸責(zé)任并責(zé)備用戶，但是作為安全專家，我們要負(fù)責(zé)權(quán)衡安全與隱私，道德與盈利能力，可用性與合規(guī)性，責(zé)任與授權(quán)之間的艱難決策。制定以人為中心的安全策略將使其對我們的用戶更易于使用，從而推動其成功。正如我們在RSA的朋友所說：“這是關(guān)于人們保護(hù)人們的事情。”更多關(guān)于信息安全的信息，請繼續(xù)關(guān)注中培偉業(yè)。