隨著惡意軟件即服務(wù)的興起，內(nèi)部人員如今更能破壞公司的運(yùn)營，更易于盜取公司數(shù)據(jù)到暗網(wǎng)售賣。

如果缺乏管理層的正確支持，我們幾乎不可能預(yù)防重大數(shù)據(jù)泄露。

惡意內(nèi)部人員與危險惡意軟件的組合，意味著管理層需要更積極地參與進(jìn)安全工作中來。

管理層傾向于認(rèn)為網(wǎng)絡(luò)安全最好交給IT部門或內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊來做。

然而，這種思維與當(dāng)今良好網(wǎng)絡(luò)安全操作相去甚遠(yuǎn)。

之所以會有這種錯誤的觀念，很大程度上是由于網(wǎng)絡(luò)安全固有的技術(shù)本質(zhì);而有關(guān)人員和過程的其他方面卻被忽略掉了。

本文專注于可改善網(wǎng)絡(luò)安全中人員與過程方面的最佳管理操作，討論公司企業(yè)可采取何種措施來確保其網(wǎng)絡(luò)安全始終保持優(yōu)質(zhì)水平。

數(shù)字資產(chǎn)識別我們采用的資產(chǎn)概念來自于 ISO 55000 標(biāo)準(zhǔn)。

根據(jù)ISO標(biāo)準(zhǔn)，資產(chǎn)就是對企業(yè)而言具有當(dāng)前或潛在價值，且處于企業(yè)管理范疇之內(nèi)的東西。

雖然 ISO 55000 對資產(chǎn)的定義偏重于物理資產(chǎn)管理，但這一定義同樣適用于包括數(shù)據(jù)在內(nèi)的數(shù)字資產(chǎn)。“關(guān)鍵資產(chǎn)”則不僅僅取決于其價值，關(guān)鍵資產(chǎn)是一旦受損就可能會嚴(yán)重?fù)p害企業(yè)持續(xù)運(yùn)營能力的東西。

當(dāng)今世界，對任何企業(yè)而言最重要的資產(chǎn)就是數(shù)據(jù)了。

然而，并非所有的數(shù)據(jù)都同等重要。

每家公司都對其客戶、合作伙伴、倉儲、供應(yīng)商的數(shù)據(jù)及其自身運(yùn)營數(shù)據(jù)負(fù)有責(zé)任。

流經(jīng)企業(yè)的數(shù)據(jù)流通常包括金融數(shù)據(jù)、運(yùn)營數(shù)據(jù)、客戶個人可識別數(shù)據(jù)，有時候還會有機(jī)密數(shù)據(jù)。

預(yù)防數(shù)據(jù)泄露的第一步，就是識別并分類這些數(shù)據(jù)。

雖然IT部門了解公司各類系統(tǒng)的運(yùn)行狀況，但他們往往不清楚整體業(yè)務(wù)運(yùn)營過程。

作為管理人員，這就是你可以發(fā)揮作用的地方。

數(shù)據(jù)往往可被分為如下幾類：公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)、機(jī)密數(shù)據(jù)和監(jiān)管所需數(shù)據(jù)。

必須標(biāo)明哪類數(shù)據(jù)與公司哪個過程相關(guān)。

網(wǎng)絡(luò)罪犯通常不會試圖獲取所有類型的數(shù)據(jù)。

有時候他們只想要內(nèi)部數(shù)據(jù)，其他時候也可能針對內(nèi)部數(shù)據(jù)、機(jī)密數(shù)據(jù)或監(jiān)管所需數(shù)據(jù)。

但是網(wǎng)絡(luò)罪犯和內(nèi)部人員一般都有試圖獲取的某類特定數(shù)據(jù)。

內(nèi)部威脅解決方案內(nèi)部威脅是每一家公司企業(yè)都面臨的一類非常獨(dú)特的安全問題，需要特定的資源來加以解決。

內(nèi)部威脅解決方案就是為此而設(shè)的。

解決方案是全公司范圍內(nèi)施行的一個計劃，具備統(tǒng)一的愿景和使命，有各自的角色、職能，還有針對性培訓(xùn)。

理想情況下，該方案應(yīng)納入人力資源、法務(wù)、IT、工程、數(shù)據(jù)擁有者和各部門主管。

但最重要的是，該方案應(yīng)僅涵蓋公司中最可信的個人。

內(nèi)部威脅解決方案是要建立起相關(guān)信息的來源、一系列協(xié)議和機(jī)制，用以檢測、預(yù)防和響應(yīng)內(nèi)部威脅。

其中應(yīng)包含有方案的使命、詳細(xì)的預(yù)算、監(jiān)管結(jié)構(gòu)和一個共享的平臺。

以上這些還僅僅是方案的構(gòu)成，方案的執(zhí)行需要：

1. 合規(guī)與過程監(jiān)管理事會該組織的存在是要審查公司現(xiàn)有過程并提出修改建議以預(yù)防內(nèi)部威脅。

2. 報告機(jī)制辦公室政治、抱團(tuán)行為和其他很多因素都會阻礙員工報告可疑行為。

因此，對可疑內(nèi)部人員的報告機(jī)制應(yīng)是保密的，以防揭發(fā)者會受到報復(fù)。

3. 事件響應(yīng)計劃已發(fā)現(xiàn)內(nèi)部威脅，甚至都有證據(jù)證明內(nèi)部人員導(dǎo)致了數(shù)據(jù)泄露，此時難道僅僅是炒了他們并向官方舉報嗎?如果有個內(nèi)部事件響應(yīng)計劃的話，這些問題就可以有個更為明晰的答案了。

響應(yīng)計劃會詳細(xì)闡明警報的觸發(fā)、管理和升級步驟。

而即便有了這么詳盡的步驟，每一步行動和流程仍需引入時間框架。

4. 針對性培訓(xùn)內(nèi)部威脅培訓(xùn)是對公司內(nèi)所有人員的意識培訓(xùn)項(xiàng)目。

不過，直接涉及內(nèi)部威脅方案的人員會接受更有針對性培訓(xùn)，以更好地檢測并緩解內(nèi)部威脅。

5. 基礎(chǔ)設(shè)施這一組件很直觀，就是用來檢測、預(yù)防和響應(yīng)內(nèi)部威脅的基礎(chǔ)設(shè)施;支持管理層達(dá)成其使命的技術(shù)。

部署的技術(shù)應(yīng)定期審查，優(yōu)中擇優(yōu)。

一個典型的內(nèi)部威脅方案共包含13個部分。

上面沒列出的還有：言論自由保護(hù)、通信框架、內(nèi)部威脅方案支持策略、數(shù)據(jù)收集工具、供應(yīng)商管理和風(fēng)險管理集成。

安全審查與監(jiān)視(HR)招聘員工時，有助防護(hù)公司安全的一個預(yù)防性措施，就是對應(yīng)聘者進(jìn)行背景調(diào)查。

有些公司常出于節(jié)約成本的目的而做此類審查，但在網(wǎng)絡(luò)安全領(lǐng)域，招聘過程只是人事部門的第一步。

需要特別注意的是應(yīng)聘者的犯罪前科和來應(yīng)聘的真實(shí)原因。

惡意內(nèi)部人員有時候會是間諜，會表現(xiàn)得像是公司最適合的人選一樣，而一旦成功進(jìn)入公司，就不定會干出什么事來了。

NIST網(wǎng)絡(luò)安全框架建議，公司企業(yè)應(yīng)為每個職位都賦予一個風(fēng)險等級。

風(fēng)險等級越高，對該職位求職者的信任和安全要求就越高。

新人員進(jìn)駐高風(fēng)險職位時，應(yīng)有主管人員更緊密地監(jiān)視其有無高風(fēng)險行為。

另外，任何事件都應(yīng)被記錄在案，并進(jìn)行行為趨勢分析。

該過程中可利用行為分析和風(fēng)險分析技術(shù)加以輔助。

HR還應(yīng)準(zhǔn)備好勞動終止協(xié)議，以備必須讓員工離職時所需。

該協(xié)議應(yīng)要求主管人員進(jìn)行離職會談，給出最后的績效考評，并商討最后一筆工資數(shù)額。

IT部門應(yīng)刪除擬離職員工的所有賬戶。

如果擬離職員工是特權(quán)用戶，IT部門還要修改所有共享口令。

HR需向該擬離職員工再次確認(rèn)知識產(chǎn)權(quán)協(xié)議。

健康的工作文化和最小化的壓力主管人員面臨著平衡員工壓力和生產(chǎn)力的挑戰(zhàn)。

通常情況下，經(jīng)理們會選擇生產(chǎn)力;也就意味著會讓員工以承受高壓為代價來達(dá)成業(yè)績目標(biāo)。

而人們承受壓力時，各種各樣的負(fù)面影響開始顯現(xiàn)，比如出現(xiàn)更多的失誤，接二連三地病倒，還會產(chǎn)生一種被忽視的感覺。

以上點(diǎn)出的這些還僅僅是負(fù)面影響的一小部分，而僅僅是這一小部分，已經(jīng)具備了讓玩忽職守問題和惡意內(nèi)部人員威脅滋生的沃土。

為避免這些讓威脅滋生的條件，公司企業(yè)有必要了解創(chuàng)建健康的工作文化需要先解決哪些緊迫問題。

其中一個問題在上文中已提到：管理生產(chǎn)力與壓力水平。

其他挑戰(zhàn)還包括為員工生產(chǎn)力水平建立基線，理解降低壓力的成本和收益。

識別這些問題對自家公司的影響，有助于管理層看清可進(jìn)行哪方面的運(yùn)營過程改進(jìn)。

減小壓力可能意味著需要實(shí)現(xiàn)一種新的管理風(fēng)格，比如面向工程的任務(wù)管理。

另一種減小壓力的方法或許是理解公司衡量成功的方式，了解關(guān)鍵績效指標(biāo)(KPI)，并弄清這些因素都是如何影響工作文化的。

不良KPI的例子可以參考幫助中心以接電話數(shù)量而不是有無實(shí)際幫助到客戶作為KPI。

如果以電話數(shù)量為KPI，那么數(shù)量的壓力必然驅(qū)使員工為達(dá)成特定目標(biāo)而降低客戶服務(wù)質(zhì)量，增加不必要的競爭，同時催生更多的錯誤。

只需簡單地將KPI改為實(shí)際幫助到的客戶，就能改變員工的壓力點(diǎn)。

員工就可以與客戶進(jìn)行更有意義的互動，也會更愿意小心謹(jǐn)慎些以確保少出錯。

上述例子的重點(diǎn)在于采用符合公司環(huán)境的KPI。

三思而后行，應(yīng)先確認(rèn)自身工作文化中的問題的根源，再試圖解決之。

供應(yīng)商管理計劃&策略公司自身或許在努力避免來自員工的內(nèi)部威脅，但供應(yīng)商和業(yè)務(wù)合作伙伴就未必那么盡職了。

于是，你需要一個供應(yīng)商管理計劃，也就是明確自家公司與合作供應(yīng)商之間責(zé)權(quán)利的一系列協(xié)議。

供應(yīng)商管理計劃屬于公司管理層的責(zé)任。

IT部門就那么點(diǎn)兒人手和資源，如果管理層沒有在引入供應(yīng)商之前就設(shè)立某些標(biāo)準(zhǔn)，那IT將不得不從有限的資源中再分出一部分來緩解各種漏洞。

此類計劃由4個階段組成：定義、規(guī)范、控制，以及集成。

定義階段涉及確認(rèn)對公司運(yùn)營而言最關(guān)鍵的供應(yīng)商都有哪幾家，也就是識別出哪些供應(yīng)商是公司賴以成功的基石。

如果沒處理好與這些任務(wù)關(guān)鍵型供應(yīng)商之間的問題，公司的運(yùn)營可能無以為繼，盈利也會受到影響。

規(guī)范階段主要涉及為每家合作供應(yīng)商制定一個安全聯(lián)絡(luò)員。

該聯(lián)絡(luò)員的職責(zé)是維護(hù)合規(guī)信息，進(jìn)行審計，協(xié)調(diào)安全通信，提供培訓(xùn)，記錄所有合同和文檔，并實(shí)施全面監(jiān)督。

上面兩個階段都履行之后，管理層的重頭戲就來了——制定供應(yīng)商策略和控制措施。

起草供應(yīng)商策略時，文檔中應(yīng)囊括進(jìn)審計安全控制的權(quán)力，并制定出對供應(yīng)商在監(jiān)視、安全性能報告和數(shù)據(jù)泄露及時通告方面的合規(guī)要求。

通過制定這些策略，安全聯(lián)絡(luò)員旅行自己職責(zé)的時候就有了有力的依據(jù)。

不過，聯(lián)絡(luò)員的成功很大程度上有賴于管理層對供應(yīng)商的要求，并將這些要求在此一階段設(shè)置為供應(yīng)商控制措施。

最后的階段就是集成，主要關(guān)注數(shù)據(jù)收集、分析和驗(yàn)證。

公司應(yīng)能獲取供應(yīng)鏈的相關(guān)信息。

如果缺乏此類數(shù)據(jù)，公司將無法了解自身整體安全狀況。

收集來的信息需要集成進(jìn)公司現(xiàn)有安全操作和審計流程當(dāng)中。

若沒有完全集成，供應(yīng)商管理計劃就會流于形式，這可不是想要在網(wǎng)絡(luò)安全時代取得成功的企業(yè)想要的狀態(tài)。

管理層關(guān)鍵角色防止內(nèi)部威脅不僅僅是IT這一個部門的工作。

只有管理層對此加以大力支持，公司企業(yè)才能更好地防止內(nèi)部威脅。

管理層可以用來幫助防止內(nèi)部威脅的方法還有很多，上面提到的一些建議僅僅是其中一小部分。

企業(yè)中的領(lǐng)導(dǎo)層對過程開發(fā)、人員招聘、業(yè)務(wù)關(guān)系和工作文化都具有深遠(yuǎn)的影響。