雖然企業用於網絡安全項目的經費不斷增加,有些多達百萬,但數據洩漏事件仍然層出不窮。通過用橄欖球作比較,能夠讓企業更清醒的認識到為什麼安全意識的教育對於降低網絡安全風險和減少安全事故損失有至關重要的作用。通過將橄欖球比賽分隔成片段,我們能更好進行類比和解釋。
橄欖球
企業最寶貴的財富。這個財富包括各種內容,比如知識產權、人力信息、法律文書、敏感的財務信息,以及任何能給企業創造財富的數據。
四分衛IT
IT項目的負責人。在橄欖球比賽中,四分衛擔負著及時準確的將球投給正確的接手的任務。而在企業世界,IT安全的核心任務就是將正確的數據安全的交付給正確的接收方。
外接手/跑鋒
各種各樣的業務單元,它們接手來自IT系統所生成的各種信息和數據,通過這些內容產生提升企業價值的內容。
進攻前鋒
設計用來保護敏感信息,數據完整性和可用性的技術人員以及安全系統(比如防火牆、入侵檢測系統/入侵預防系統、病毒查殺產品、身份驗證系統、垃圾郵件過濾器等等)。
左內邊鋒
這個位置的人員負責保護四分衛(即企業中的IT安全部分)的盲區。企業的所有員工都不同程度的管理著企業的各種數據。他們應該接受足夠的安全教育,讓他們明白自身工作的風險和威脅可以導致企業數據的洩漏以及數據完整性受損。每個員工都是一個獨立的點,而IT防禦系統並不總能夠覆蓋到這些點,也就形成了IT安全的盲區。如果對方的防守隊員(即外部安全威脅)成功的繞過了進攻前鋒(IT防禦系統),接下來左內邊鋒(企業的所有員工)的職責就是防止他到達四分衛那裡並搶到橄欖球(企業數據)。要想高效率的完成這個職責,企業僱員需要具備足夠的安全知識培訓和相應的工具。
技術方案並不是萬無一失的
目前企業所採用的各種安全防護方案主要用來應對日常的網絡攻擊,就好像在應對橄欖球比賽中對手的各種戰術一樣。但不管我們花多少錢購置最新最好的安全系統,企業網絡中的安全盲區仍然存在,並且不能通過技術手段徹底保護。
大部分人對於安全防護的意識是通過技術解決方案配合相應的安全處理過程來應對企業網絡安全問題,但在這中間,很多人忽略了對於人員安全教育培訓的重要性。對於一箇中等規模的企業來說,每年用於網絡安全防護方面的投資,平均到每個員工身上會達到100美元,但是其中用於員工安全意識培訓的經費還不到1美元,甚至不如企業給員工喝咖啡的經費投入。所以說,大部分企業沒有經費用於建立和開發有效和持續性的員工安全意識培訓課程就不是什麼奇怪的事兒了。
很多人不理解,為什麼價格昂貴、部署全面的企業安全機制會由於員工打開網絡釣魚郵件或主動下載安裝小遊戲等情況而變得毫無效果。實際上,前不久美國橄欖球聯盟也注意到了左內邊鋒的重要性。企業也應該對於安全機制中的盲區改變態度了。除了加大對於員工安全意識培訓方面的投資,企業還應該為員工配備預防威脅發生的工具,分享有關的知識以及經驗技巧等。
橄欖球隊都明白,要讓他們的四分衛能夠成功,就一定要給四分衛留下足夠的時間和空間將球準確拋出。而要確保這一點,球隊就要花錢找最好。