今天,每个人都在网络安全中发挥作用; 共同努力应对这些挑战将大大降低风险。
信息安全一直是我们过去的有趣部分,是我们现在的关键部分,并将成为我们未来的决定性因素。 有些行动必须在微观/个人层面解决,而随着行业的发展,我们必须共同应对挑战。
安全经济学很明确:“没有网络安全就没有金融稳定,”克利夫兰联邦储备银行总裁兼首席执行官 Loretta J. Mester 写道。 事实上,对网络安全性差的看法已被证明会降低股价和股价倍数、损害品牌声誉、降低市场份额、减少销售额、增加罚款、增加法律费用,并使聘用优质员工变得更加困难。 拥有未来需要掌握信息安全。
未来掌握信息安全的途径包括:
- 承认个人责任/问责制,
- 明确个人信息安全信念,
- 养成良好的网络卫生习惯,
- 关注软件供应链,以及
- 强化运营技术组件。
观众不再
迄今为止,在数字时代的绝大多数时间里,信息安全都是一项参与度不高的观众运动。工人、客户、高管和董事会成员基本上坐在看台上,而信息向导 [安全专业人员] 则在暗中与坏人作斗争。
人类与信息安全的亲密关系已经结束!展望未来,每个使用设备的人都涉及网络安全;每个使用设备的人都会提高或降低网络安全性;每个人在信息安全方面都有自己的角色和相应的责任。
我预测,到本世纪末,信息安全责任将明确规定每个 5 岁以上的人。在每天、季度、年度和职业生涯结束时,将根据高管是否改善或降低其社区和工作场所的网络安全性而受到评判和奖励/惩罚。
将我们所有的网络问题“归咎于用户”不是我的意图,也不是有效的做法。然而,我们确实需要确保企业中的每个人都知道他们在信息安全方面可以发挥作用。
想,说,做
你不需要成为一名未来学家、心理学家或人类学家就知道人们的想法、他们所说的和他们所做的之间经常存在巨大的差异。未来,网络安全将更少关注计算机科学,更多关注行为科学。
信息安全需要改变行为。要改变行为,我们必须管理人们所知道的以及人们对信息安全的看法。为此,我们必须了解人们对信息安全的看法。
信念、知识和行为改变是密不可分的。第一步是准确评估企业中每个员工对信息安全的看法。这只能通过经理们进行的亲身实践的“皮鞋式”访谈来完成。民意测验专家 Nate Silver 将此类交互的输出标记为“地面振动”。
我预测,这种逐人评估的结果将显示出两种关于信息安全的强烈且完全不正常的信念:
- “我不重要,没有人针对我。”
- “即使我想阻止他们,我也无法阻止他们。”
练习基本的网络卫生
我们每个人都需要促进和实践良好的网络卫生。网络卫生包括但不限于良好的密码实践、强大的漏洞修补流程、及时的检测、预防和补救措施,实施保护措施以防止和阻止恶意软件,以及确保强大的访问协议。
遵循这些最佳实践将大大提高整体安全性。根据微软 2021 年数字防御报告,近 70% 的数据泄露是由网络钓鱼引起的,而 98% 的攻击可以通过基本的安全卫生来预防。
行业挑战
随着我们对良好的信息安全行为承担个人责任,从而消除不良行为者的“唾手可得的果实”,我们可以预期网络攻击的重点会转移。两个值得关注的领域是运营技术和软件供应链。
多年来,安全专业人员一直在警告可能对运营技术(例如,工厂生产线、制造技术、公用事业、电梯、恒温器、灯光和车辆)进行破坏性攻击。对殖民管道的袭击给许多人敲响了警钟。
另一种攻击,即 2020 年末发生的攻击,将软件供应链安全置于聚光灯下。对网络监控软件提供商 SolarWinds 的攻击使其 Orion 软件的用户面临风险,特别是包括美国政府机构和机构。
现代软件开发被比作做蛋糕。许多高管不知道,软件蛋糕的组件并非都是内部生成的。聪明的黑客已经发现,破解安装在数千家公司中的软件组件比破解数千家公司本身更有利可图。
近期信息安全的最大担忧是广泛部署的软件组件可能已受到损害。组织正在仔细重新审视他们的软件“材料清单”。
- 登录 发表评论