Thorton May
T
導語
今天,每個人都在網路安全中發揮作用;透過我們共同的努力去應對這些挑戰,可大大降低風險
資訊保安在過去是引人深思的話題,現在已經成為關鍵環節,而在未來將成為決定性因素。有些行動必須在微觀/個人層面解決,但在行業層面,我們必須合作解決,共同應對這些前進過程中的挑戰。
經濟安全中很明確指出了:“沒有網路安全就沒有金融穩定”,來自克利夫蘭聯邦儲備銀行總裁兼執行長 Loretta J。 Mester 寫道。事實上,網路安全性差的影響已被證實會降低股價和股價倍數、有損品牌聲譽、降低市場份額、減少銷售額、催生罰款、增加法律費用,並使得聘請高質量人才變得更加困難。要想擁有未來,就必須掌握資訊保安。
在未來掌握資訊保安的途徑有以下要素:
承擔個人責任/義務
明確個人對資訊保安的信念
養成良好的網路衛生習慣
關注軟體供應鏈
強化操作技術元件
不再做旁觀者
迄今為止,在數字時代的大部分時間裡,資訊保安一直是一項參與度不高的專案。職員、客戶、高管和董事會成員基本上都持觀望態度,而資訊專家( 安全專家)則默默地與壞人作鬥爭。
人類與資訊保安的親密關係已經結束。展望未來,隨著裝置的普及,每個人都與網路安全息息相關;每個人都有改善網路安全或降低網路安全風險的可能;每個人在資訊保安領域扮演了一個角色並承擔相應的責任。
個人預測,到本世紀末,將明確規定法定年齡 5 歲以上的人都將承擔起對資訊保安的責任與義務。在每天、每季、每年和每一段職業生涯結束的時候,將以高管們是否改善或降低他們所在社群和工作場所的網路安全為依據,進行評判、獎勵和懲罰。
將所有的網路問題“歸咎於使用者”並不是我的本意,也不是有效的做法。然而,我們的確需要讓企業內的每個人都明白,自己在保障資訊保安方面可發揮的作用。
從量變到質變(知、言、行)
你不用非得先成為一名未來學家、心理學家或人類學家,就知道人們的所想、所說和所做之間經常存在巨大的差異。在未來,網路安全將不再以計算機科學為主,更多地而是一門行為科學。
保障資訊保安需要付出行動。為了有所改變,我們必須管理人們對資訊保安的理解與思考方式。為此,我們必須先了解人們對資訊保安的信念。
信念、知識和行動是密不可分的。第一步是準確評估企業中每個員工對資訊保安的看法。這隻能透過管理人員的親身實踐和逐一談話來完成。
個人預測,這種逐各評估的方式將顯示出兩極分化的結果:
“我不重要,沒有人會針對我。”
“即使我想阻止他們,我也沒有能力。”
養成基本的網路清理習慣
我們每個人都需要促進和養成良好的網路清理習慣。它包括但不限於,設定安全性高的密碼、強大的漏洞修補流程、及時檢測、預防和補救、將保護措施落實到位以預防惡意軟體,並確保強大的訪問協議。
遵循這些,將有效提高整體安全性。根據微軟 2021 數字防禦報告顯示,近 70% 的資料洩露是由網路釣魚引起的,而 98% 的攻擊可以透過基本的網路安全清理習慣來預防。
行業挑戰
隨著我們對保障良好的資訊保安承擔起個人責任,這便消除了壞人們“唾手可得的果實”,因此我們可以預見,網路攻擊的重點將會轉移。值得關注的兩大領域,一個是運營技術,一個是軟體供應鏈。
多年來,安全專家一直警告說,運營技術(如,工廠生產線、製造技術、公用設施、電梯、恆溫器、燈和車輛)可能會遭受毀滅性的攻擊。美國燃油、燃氣管道運營商 ColonialPipeline 的駭客攻擊事件為很多人敲了個警鐘。
現代軟體開發被喻為做蛋糕。許多高管不知道,這個軟體蛋糕的組成部分並非都是在內部產生的。聰明的駭客已經發現,破解一個被數千家公司安裝的軟體,遠比破解數千家公司更有利可圖。
近期,資訊保安的最大擔憂是,廣泛部署的軟體元件可能已受到損害。各企業正在仔細重新檢查他們的軟體“材料清單”。
預告
還想知道更多CIO的成功秘訣?請持續關注《計算機世界》的乾貨分享!