最大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，其實(shí)來(lái)自組織內(nèi)部

隨著數(shù)字世界的不斷發(fā)展，網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊的數(shù)量、種類和速度也在不斷增長(zhǎng)。世界上充斥著數(shù)據(jù)，總有人試圖將其變成自己的虛擬貨幣。

今天，惡意軟件和勒索軟件的攻擊無(wú)所不在，從我們的個(gè)人手機(jī)到關(guān)鍵任務(wù)的基礎(chǔ)設(shè)施和供應(yīng)鏈。無(wú)論是網(wǎng)絡(luò)釣魚、短信釣魚還是電話釣魚，攻擊者也變得越來(lái)越狡猾，利用我們個(gè)人生活和工作生活的細(xì)節(jié)來(lái)誘使我們分享我們的數(shù)據(jù)。

然而，在一個(gè)人人都是目標(biāo)的世界里，企業(yè)也需要了解自己面臨的來(lái)自組織內(nèi)部的風(fēng)險(xiǎn)。今天，超過3億人在遠(yuǎn)程工作——無(wú)論他們走到哪里，都在創(chuàng)建、訪問、分享和存儲(chǔ)數(shù)據(jù)——而因內(nèi)部威脅和簡(jiǎn)單事故引起的數(shù)據(jù)泄露每年平均會(huì)給企業(yè)造成750萬(wàn)美元的損失?？纯?022年的Cash App數(shù)據(jù)泄露事件吧，一名前員工在被解雇后訪問了客戶財(cái)務(wù)報(bào)告。此次泄露可能影響到了820萬(wàn)現(xiàn)有及過去的客戶。

最終，泄露是有意為之還是意外事件無(wú)關(guān)緊要。內(nèi)部風(fēng)險(xiǎn)計(jì)劃應(yīng)該成為每家公司安全戰(zhàn)略的一部分。要獲得成功，企業(yè)在領(lǐng)導(dǎo)員工時(shí)應(yīng)該把他們當(dāng)作工作伙伴，并用先進(jìn)的工具來(lái)補(bǔ)充他們的計(jì)劃。無(wú)論內(nèi)部風(fēng)險(xiǎn)出現(xiàn)在何處，這些工具都可以發(fā)現(xiàn)并減輕風(fēng)險(xiǎn)。

以下是我擔(dān)任微軟首席信息安全官（CISO）所吸取的四條經(jīng)驗(yàn)。我負(fù)責(zé)管理我們的內(nèi)部風(fēng)險(xiǎn)計(jì)劃，它正從一個(gè)小規(guī)模的內(nèi)部計(jì)劃發(fā)展成為一個(gè)向CEO匯報(bào)工作的業(yè)務(wù)部門。

這一點(diǎn)擺在首位是有原因的。在商界和生活中，信任是任何正常關(guān)系的關(guān)鍵。最好的內(nèi)部風(fēng)險(xiǎn)計(jì)劃強(qiáng)調(diào)在員工隱私和公司安全之間取得平衡。至關(guān)重要的是，要制定隱私控制措施和政策，以維持甚至提高信任度。

設(shè)置工具、不分青紅皂白地篩查員工活動(dòng)中的錯(cuò)誤行為，這樣做不僅無(wú)效，而且適得其反——這是完全錯(cuò)誤的做法。這是在侵犯隱私，會(huì)造成焦慮并損害關(guān)系。企業(yè)需要能夠發(fā)現(xiàn)內(nèi)部風(fēng)險(xiǎn)，但他們需要以正確的方式來(lái)做這件事，在一個(gè)狹窄定義的范圍內(nèi)采取透明行動(dòng)，以顯示對(duì)員工的尊重，并給予他們信任。

設(shè)置隱私控制措施來(lái)保護(hù)工作中的身份——甚至在調(diào)查期間——讓員工知道你也在保護(hù)他們。針對(duì)內(nèi)部風(fēng)險(xiǎn)管理工具，使用基于角色的訪問，這也有助于確保由合適的人來(lái)檢視合規(guī)性提醒，防止無(wú)端的猜疑潛入企業(yè)。

雖然IT和安全團(tuán)隊(duì)會(huì)帶頭引路，但內(nèi)部風(fēng)險(xiǎn)是一個(gè)涉及整個(gè)公司的經(jīng)營(yíng)問題。在微軟，我們是在時(shí)間流逝的過程中認(rèn)識(shí)到這一點(diǎn)的。最初只是我們安全部門的一項(xiàng)計(jì)劃演變成了企業(yè)各團(tuán)隊(duì)的統(tǒng)一努力，包括法務(wù)、人力資源部門和高級(jí)領(lǐng)導(dǎo)層在內(nèi)。

這種廣泛的參與有助于確保更廣泛的認(rèn)同，并提供額外的視點(diǎn)和資源，比如法務(wù)部門優(yōu)先考慮新出的法規(guī)，人力資源部門促進(jìn)培訓(xùn)計(jì)劃和調(diào)查。內(nèi)部風(fēng)險(xiǎn)委員會(huì)或督察員可以幫助開展對(duì)話。他們的首要任務(wù)之一應(yīng)該是創(chuàng)建一個(gè)應(yīng)對(duì)方案，列舉出如何分享信息、每個(gè)團(tuán)隊(duì)何時(shí)做出貢獻(xiàn)及貢獻(xiàn)什么、誰(shuí)做出哪些決定、誰(shuí)來(lái)負(fù)責(zé)。

同樣重要的是，要有共同的目標(biāo)和明確的成功衡量標(biāo)準(zhǔn)。你可以通過量化關(guān)鍵指標(biāo)（比如提出的案件數(shù)量、正確判斷和誤判標(biāo)記、以及根據(jù)調(diào)查結(jié)果采取的行動(dòng)）來(lái)對(duì)這一過程進(jìn)行微調(diào)。如果你有大量的誤判標(biāo)記，你就有可能讓你的人力資源團(tuán)隊(duì)和法務(wù)團(tuán)隊(duì)承受不必要的、破費(fèi)錢財(cái)?shù)恼{(diào)查。

讓員工參與數(shù)據(jù)保護(hù)和合規(guī)培訓(xùn)可能具有難度，但重要的是，他們要知道如何降低安全風(fēng)險(xiǎn)以及為何這是頭等大事。強(qiáng)調(diào)數(shù)據(jù)管理的培訓(xùn)表明，就在員工為企業(yè)服務(wù)之時(shí)，企業(yè)也在向員工傳達(dá)信任。

要培訓(xùn)員工如何正確處理企業(yè)的數(shù)據(jù)，并定期重復(fù)這一信息，使其始終保持新鮮。這也有助于處理個(gè)人事務(wù)。大多數(shù)人立即明白并致力于如何保護(hù)他們自己的財(cái)務(wù)數(shù)據(jù)和醫(yī)療數(shù)據(jù)。在培訓(xùn)中注入個(gè)人方面的內(nèi)容，這會(huì)將數(shù)據(jù)保護(hù)對(duì)企業(yè)的重要性聯(lián)系起來(lái)。

按照“看到什么，說(shuō)什么”的原則以無(wú)風(fēng)險(xiǎn)的方式對(duì)員工進(jìn)行培訓(xùn)是內(nèi)部計(jì)劃的一項(xiàng)重要能力。通過改進(jìn)數(shù)據(jù)安全教育和培訓(xùn)，公司可以讓員工有能力成為第一道和最后一道防線，并以檢測(cè)工具作為補(bǔ)充。

高德納公司（Gartner）將內(nèi)部風(fēng)險(xiǎn)管理定義為“衡量、檢測(cè)和遏制企業(yè)內(nèi)受信任賬戶不良行為的工具和能力”。近年來(lái)，內(nèi)部風(fēng)險(xiǎn)管理工具已變得更加準(zhǔn)確有效。

舊一些的工具通常忽略了一些細(xì)微的指標(biāo)，而這些指標(biāo)可以識(shí)別出試圖隱匿行蹤的危險(xiǎn)分子。它們通常還進(jìn)行過于嚴(yán)格的控制，降低了生產(chǎn)力并鼓勵(lì)繞路。今天，一種新的內(nèi)部風(fēng)險(xiǎn)管理工具正嶄露頭角，它具有自適應(yīng)的安全能力，可以檢測(cè)到風(fēng)險(xiǎn)活動(dòng)并減輕任何潛在的影響，同時(shí)不妨礙工作并保持用戶信息的私密性。

雖然打印機(jī)密文件這樣的活動(dòng)可能不會(huì)顯示意圖，但重命名文件，然后在打印后刪除它等一連串相聯(lián)系的活動(dòng)可能表明有更嚴(yán)重的問題。如果使用機(jī)器學(xué)習(xí)，這些工具可以從噪音中分離出信號(hào)，并識(shí)別出微妙的行動(dòng)，減少可能讓企業(yè)陷入困境的誤判。

管理內(nèi)部和外部風(fēng)險(xiǎn)對(duì)任何企業(yè)的安全都至關(guān)重要。每種風(fēng)險(xiǎn)都有各自的挑戰(zhàn)，但令內(nèi)部風(fēng)險(xiǎn)管理特別棘手的是需要對(duì)人員、流程和技術(shù)進(jìn)行平衡。

強(qiáng)大的工具可以幫助阻止、檢測(cè)和應(yīng)對(duì)內(nèi)部風(fēng)險(xiǎn)——但它們不會(huì)解決根本原因。這就是詳細(xì)的入職培訓(xùn)、安全培訓(xùn)、團(tuán)隊(duì)建設(shè)活動(dòng)和工作-生活平衡計(jì)劃的用武之地。打造一個(gè)健康的工作環(huán)境有助于減少員工故意從事危險(xiǎn)行為的風(fēng)險(xiǎn)。不過，最終，在人員和技術(shù)之間取得平衡最為重要。風(fēng)險(xiǎn)管理必須積極主動(dòng)并持續(xù)不斷，而且它需要信任、透明和協(xié)作才能保持這臺(tái)引擎的運(yùn)行。這一理念——以人為本，輔以強(qiáng)大的技術(shù)——是防患于未然的唯一途徑，如果事情真的發(fā)生了，這也是偵測(cè)問題并快速有效應(yīng)對(duì)的唯一途徑。