财新传媒 财新传媒

阅读:0
听报道

想让员工成为防范网络威胁的一线人员,仅有技术是远远不够的。

图片来源:Reuters/Wolfgang Rattay

各家公司都在技术方面重下血本,斥巨资防范外部网络威胁,其背后的动机显而易见。但事实上,这些公司面临的最严重的安全问题来源于内部,可以称得上是远在天边,近在眼前。换句话说,公司内部员工是网络安全最大的隐患所在。

据著名国际咨询服务公司Willis Towers Watson的网络保险理赔数据显示,三分之二的网络安全漏洞问题是由于员工疏忽和渎职而直接或间接造成的。具体原因包括:电脑丢失、信息意外泄露、员工不良行为等。相较之下,仅有18%的网络安全问题是由外部威胁直接引发的。

数据显示,网络安全危机主要还是由企业内部产生的。

在公司网络安全策略中,员工有时候会成为最强大的资产。然而,想让员工成为防范网络威胁的一线人员,仅有技术解决方法是远远不够的。

这一共识的达成促使越来越多的公司开始审视它们的内部文化,同时考察自身在鼓励降低网络风险脆弱性行为方面的作用。据2017年Willis Tower Watson网络风险调查显示,80%以上的受访公司希望在未来三年时间内,在公司文化中引入网络风险管理。然而,当一家公司的风险文化流于表面时,又该如何实现这一目标呢?

下述措施有助于公司构建强有力的网络知识文化:

1)评估内部风险文化

公司若想构建一种规避风险的文化,必须评估员工行为中存在的固有风险。最行之有效而又最不起眼的评估工具或许是网络风险文化调查。这是针对员工开展的一项调查,用于评估个人对于网络安全的担当和责任。

雇主可以通过让员工回答有关网络风险意识和风险应对行为的问题(例如,员工是否会通过加密邮件来发送重要信息或机密信息?),从而为需要着重关注的群体建立档案。

这种评估类型也有助于揭示一家公司及其领导者是如何支持网络风险文化的。例如,此项调查可用于评估员工对关键功能领域内网络风险培训的认知。

此外,公司如具备适当的能力和数据,可将其调研结果和行业同行及全球领先企业的调查结果进行比较。

由此获得的洞见有助于高层领导有针对性地关注高风险模块,制定计划弥合网络风险教育和公司整体网络安全支持的差距。

有效的培训和规划,对维护网络安全有重要的意义。

2)优先推动精准培训

员工的网络风险意识和知识水平参差不齐,因此有必要根据不同员工群体的需求和特征,制定个性化的长期培训活动。

培训形式可包括:在线培训、面对面指导、自主学习和实践学习。“实践学习”是一种思维模拟培训方式,要求员工对钓鱼式攻击等网络风险做出反应。

综合培训的好处不言而喻:据2017年Willis Tower Watson网络风险调查显示,77%的员工认为,综合培训能够增强他们在工作中对数据安全的个人责任感。

3)重新思考技能策略

考虑到许多经济体信息安全技能的匮乏以及不断演变的人才需求,有必要定期评估技能缺口,并确定如何能够最大限度地填补缺口:这可以通过雇佣新兴人才或提高现有员工的技能水平来实现。不断为员工提供学习新技能的机会,也有助于公司留住高价值的员工。

当信息安全在公司中发挥着越来越重要的作用时,新的人才挑战也随之出现。例如,在有些公司中,信息安全与商业活动“并驾齐趋”。这种转变催生了网络安全对综合性人才的需求,要求他们同时具备商业头脑和专业技术能力。跟上这些人才需求变化的节奏,能够让公司获得竞争优势。

网络威胁在短期内没有任何缓解的迹象。评估网络威胁将为公司提供持续学习的机会,有助于公司开发前瞻性的人才战略。公司由此可以构建强有力的网络智能文化,防范网络泄露风险。

作者:Anthony Dagostino, Global Head of Cyber Risk, Willis Towers Watson

Suzanne McAndrew, Managing Director, Head of Talent Business, Willis Towers Watson

以上内容仅代表作者个人观点

本文由世界经济论坛博客原创,转载请注明来源并附上原文链接

责编:景嘉伊

世界经济论坛博客是一个独立且中立的平台,旨在集合各方观点讨论全球、区域及行业性重要话题。

话题:



0

推荐

达沃斯博客

达沃斯博客

1014篇文章 5年前更新

本博客为世界经济论坛中文博客在财新网的镜像博客。这里是一个独立且中立的平台,旨在集合各方人士观点讨论全球、区域及行业性重要话题。

文章