網絡安全的人為因素：隱私，道德，可用性和責任。與團隊一起，我一直是RSA年度會議的熱情支持者。在這里，頂尖的網絡安全領導者和社區(qū)同行匯聚一堂，交流的想法，以推動行業(yè)向前發(fā)展。我喜歡RSA會議以一個關鍵主題為基礎，該主題以行業(yè)運動，貢獻或想法為基礎，這可能會顯著影響或破壞現狀。這有助于像我們這樣的專業(yè)人士專注于影響行業(yè)的最先見之明的趨勢。今年的主題是“人為因素”，我非常重視這一主題。

信息安全專業(yè)人員經常將IT的人為因素解釋為“人為錯誤”，這是公司數據安全機制中最薄弱的環(huán)節(jié)。你不能怪他們。在許多情況下，網絡安全事件是由人為錯誤，惡意意圖或無知引起的。實際上，根據IBM的一項研究，人為錯誤是95%的網絡安全漏洞的主要原因。因此，有意義的是，該行業(yè)正在越來越多地投資于將這些人為風險降至最低的技術，策略和標準。這是提供行為監(jiān)控，內部威脅檢測和數據丟失防護工具的技術旨在減少惡意和意外人員的威脅的主要原因之一。

但是，這與當今數據安全形勢所面臨的明顯困境并沒有關系。取而代之的是，我將從人類方程式的另一面來看：我們應該保護的用戶。人類不僅僅是您可以強迫遵守安全最佳實踐的資源。我們有感覺，擔憂和需求。有效的安全策略將需要解決這些人為因素。

例如，如果您實施了強大的密碼安全策略卻未解決人類尋求便利的趨勢，人們將找到一種繞過該規(guī)則的方法。他們將以純文本形式記錄下來，將其保存在瀏覽器中，或者開始在未經批準/個人站點上重復相同的密碼。您將需要為他們提供有效的選項，例如SSO，密鑰庫或其他工具，以輕松管理他們的密碼。

同樣，讓我們考慮工作場所監(jiān)視。許多公司使用這些服務來提高生產力并減少內部威脅和數據泄漏。但是，如果您忽略員工的隱私權，則將冒法律后果的風險，更不用說文化上的裂痕，失去信任以及許多其他問題，這些問題將超過您可以實現的任何安全利益。換句話說，您需要采用不僅可以有效提供功能安全性而且可以實現包容性的解決方案和策略。讓我們看一下這是如何完成的。

　　隱私

近年來，由于引入了GDPR，CCPA和其他類似法律，數據隱私已成為網絡安全專業(yè)人員之間討論的話題。一方面，您需要保護客戶的數據，知識產權和商業(yè)機密免受外部或內部威脅。同時，您有義務維護員工的隱私。解決方案是使用自治系統(tǒng)，例如員工監(jiān)控，UEBA和DLP系統(tǒng)，以實現端點安全，但這樣做不會無意間捕獲員工的個人數據并使自己暴露在侵犯隱私的環(huán)境中。例如，當用戶訪問銀行的網站或訪問其個人電子郵件帳戶，使用匿名或智能中斷功能來編輯PII/PFI/PHI或其他私人數據時，暫停監(jiān)視和擊鍵記錄。這可能有點棘手，并且需要具有此類功能的現代解決方案。

　　倫理

盡管數據安全無疑是一件好事，但它也是一個細微的問題，可能使公司面臨道德困境。畢竟，您是在保護組織，客戶和員工免受災難性的數據丟失事件的影響。實際上，事情并非如此。但是，在保護客戶數據時，很容易混淆動機。

例如，員工可能會想知道您為什么要實施特定的安全措施或監(jiān)視計劃。是因為您想提高工作效率嗎？您是否真的需要掃描他們的電子郵件來實現這一目標?盡管數據安全的目標是合乎道德的，但防御措施仍需要適當。找到監(jiān)視和安全的目的并建立邊界和透明協議是避免此類道德陷阱的關鍵。

　　易用性

安全性不應損害可用性。相反，它應該能夠實現自由和創(chuàng)造力。幸運的是，隨著機器學習/AI，NLP，基于上下文的分類以及其他軟件的開發(fā)，公司可以平衡安全性和可用性。但是，您仍然需要花時間配置這些解決方案或使用足夠的數據來培訓它們，以最大程度地減少誤報。此外，如果您阻止工作流程而沒有提供替代解決方案，則安全計劃的成功將受到損害。例如，您可能認為阻止使用云驅動器是明智的預防措施。但是，如果您不允許其他渠道或“類云”解決方案，則員工很可能會使用電子郵件，USB驅動器或不太安全的方法來共享這些文件。

責任

數據安全不僅僅是安全專家的責任。為了獲得成功，數據安全優(yōu)先級必須是一項集體努力，必須擴展到公司的各個級別。的確，如果我們僅依靠安全專業(yè)人員和技術，那么從選舉黑客攻擊和深度虛假到信息武器化的所有問題都無法解決。

對于一個小組來說，這個問題太大了。因此，作為安全專家，我們可以做些什么來推動大眾參與？最重要的是，我們可以宣傳數據隱私最佳做法的重要性。

像RSA這樣的組織在傳播這個詞方面做得很出色，但我們也都可以提供幫助。只要有機會，就對人們進行教育和培訓。諸如避免網絡釣魚電子郵件，檢測社會工程學的跡象，在線承擔責任，使用基本保護措施以及報告垃圾郵件等技能都是我們都可以在我們的社交渠道上共享的主題。我們分享的越多，我們創(chuàng)造的知名度就越高。

結論

當用戶做錯事時，容易推卸責任并責備用戶，但是作為安全專家，我們要負責權衡安全與隱私，道德與盈利能力，可用性與合規(guī)性，責任與授權之間的艱難決策。制定以人為中心的安全策略將使其對我們的用戶更易于使用，從而推動其成功。

以上就是關于如何制定以人為本的安全政策的全部內容介紹，想了解更多關于信息安全的信息，請繼續(xù)關注中培偉業(yè)。