企业备忘录:信息安全不仅仅是IT的问题

数据泄漏已成为澳大利亚企业面临的重大安全风险Ponemon Institute最近对数据泄漏进行的一项全球研究发现,澳大利亚组织中的每一起安全事件平均花费2800万美元,而澳大利亚组织在全球范围内花费的次数最多(1,200万美元)调查和评估数据泄露大多数澳大利亚企业都对保护他们的信息感兴趣但许多组织都存在一种根深蒂固的信念,即信息安全是一个技术问题,主要威胁来自外部恶意黑客

相反,研究表明组织内的文化和人员同样可能成为数据泄露的来源无论是故意还是无意,员工通常比黑客更容易对信息泄露负责例如,机密和敏感信息有时会通过社交媒体无意中共享许多信息安全专家将同意,实际上没有采取太多措施来应对组织中的信息泄漏重点是物理,技术和财务安全而不是人为因素这可能有很多原因一个解释是许多高管认为“信息安全“与”IT安全“相同,因此是IT经理的责任这一信念可以解释为什么”我们的信息安全吗

“这个问题经常被回答”是的,我们有防火墙“哥伦比亚大学的Benjamin Dean指出企业缺乏对网络安全投资的激励措施然而,企业对信息流的性质缺乏了解也发挥了重要作用虽然防火墙可能适合打击侵入式黑客,但还有许多其他途径哪些信息可能泄漏信息不仅仅存在于数字环境中它也“生活”在har d复制(例如纸张)和人员负责人实际上,信息不断在人员,硬拷贝和软拷贝(数字空间)“存储库”之间流动虽然并非所有信息都是敏感的并且需要特殊保护,但企业需要监控改变环境以确定何时特定信息可能变得敏感,并实施适当的保护措施整体信息安全策略必须考虑安全措施来控制或影响对存储位置的访问,信息流以及信息所有者和用户的行为 - 员工关键策略是将敏感信息视为资产并绘制存储位置重要的是要记住业务中有许多不同的存储库技术控制通常是网络安全策略的重点和IT经理的责任这样的技术控制可以帮助减轻与数字存储相关的风险但是,确定谁能够访问业务中的信息也很重要保护信息的一种常用技术是划分敏感的组织流程和信息这意味着只有“需要知道”的员工才能访问信息这可以减少敏感信息的不必要流通并降低泄漏的风险同样,通过在打印机上强制执行“需要打印”政策并使用信息所有者的名称标记打印副本,以便在泄露或发现杂散副本时允许问责处理,可以对文件进行分隔处理信息处理可以通过映射业务中的信息流来捕获这些映射然后可以用于识别潜在的攻击角度信息流通常与业务中的工作流程,职责和关系密切相关因此需要将整体信息安全策略集成到更广泛的业务战略中和操作从这种角度看待信息安全的企业更有可能理解在正常业务运营期间可能发生的漏洞,而不仅仅局限于有针对性的恶意攻击最后,关注员工安全教育,培训和意识的战略也是如此因为,行为改变同样重要 关键是要增加员工的理解,即他们与其他人,计算系统和硬拷贝的互动方式可以提高或降低安全计划的有效性持续的定期培训和提醒也有助于加强员工心中的政策和程序那么,网络安全不仅仅是企业IT部门的责任

数字系统的引入从根本上改变了组织的运作方式,但遗憾的是导致了对技术控制和标准的预先占用,排除了其他互补且同等重要的信息安全策略许多澳大利亚企业误解或不愿意解决社会技术问题的复杂性,并倾向于只关注IT安全性现在是企业根据不断增长的数据改变这种观点的时候了泄漏成本

上一篇 :新南威尔士州无需私有化即可支付所需的基础设施
下一篇 新南威尔士州正在为有抱负的首次置业者提供帮助