假定员工想要盗取商业秘密会造成员工敌视安全团队,制造压力,降低生产力。
发生数据流出可信网络的情况时,人们会下意识地怀疑其中牵涉恶意目的。我们常看到新闻媒体报道员工偷盗公司数据的事件,然后就推而广之,得出数据泄露往往恶意的结论。某些情况下,数据泄露可能真的是出于恶意目的,但事涉值得信赖的员工外泄数据时,我们应该花点时间深入挖掘一下,多了解点信息,尤其是考虑到数据渗漏情况往往是员工失误或疏忽造成的。
绝大多数员工都是善良勤奋的人,从来没想过引发网络安全问题。事实上,2020年,17%的数据泄露事件是由人为失误引起的,比2019年多一倍。
或许新员工在自己的工作设备上添加了个人iCloud云盘,却没意识到其默认设置会导致公司数据自动上传到iCloud账户。或者,新冠肺炎疫情期间远程办公的团队成员可能用自家个人笔记本电脑访问了文件。无论如何,员工没想过故意引发问题。安全团队假设员工故意破坏,无法预防未来的数据丢失。
事实上,假设员工想要盗取公司知识产权或商业秘密,反而会导致安全团队和员工互相敌视,从而造成不必要的安全相关压力。我们需要更好的理念,从假定员工只不过是想完成工作开始,从假设员工的行为都是出于善意开始。
善意安全文化的构建,始于员工上班的第一天。即使只讨论五分钟,也要在入职过程中融入安全意识。可以利用这点时间定下安全文化基调,说明公司安全团队不是等着抓人的,公司需要员工帮助保护公司资产。此外,还应该打好员工如何与安全团队紧密合作的基础:需要帮助时应该找谁?遇到问题时应该找谁?要报告问题或顾虑时应该找谁?
定期提供有效的网络安全培训也很重要,要将公司员工放在安全英雄的位置上,而不是将他们当作敌人。与其只关心恶意数据盗窃,不如教育团队将精力放在数据无意泄露的常见方式上,从而提高安全意识,防止将来再次出现此类事件。
无论哪种培训,深入人心、效果持久才是最终目的。如何做到这一点呢?让培训本身具有吸引力。改变培训形式,并尽可能增加培训的交互性。可以将网络钓鱼演练当作安全挑战:员工不点击测试电子邮件和报告测试邮件都可以增加自己的得分;并且向员工说明举行网络钓鱼培训的原因。数据安全公司Code42通常会提示新员工,说明公司举行网络钓鱼测试并不是要耍人,而是帮助他们学会识别并报告可疑电子邮件。期待员工精通自己从未有机会实践过的事情是不现实的。
透明度具有两个方面的重大作用。Code42要求员工在出于业务或个人原因需要迁移或共享文件时通知公司。例如,正在办理离职的员工通知公司安全团队,说自己计划将工作盘上存储的一些个人照片转移到自己的个人盘上。这种主动告知的行为很有帮助,不仅可以缩短调查时间,安全团队也有机会建议更加安全的转移方式,比如使用加密盘。
公司仍然有可能遭遇员工恶意渗漏数据。但假设数据泄露背后的人员并非恶意,仍是面对数据泄露的最佳方式,因为非恶意泄露才是常态。询问员工有关安全失误或错误的情况时,所用的语言和措辞可以在很大程度上显示出公司的善意,让员工放下戒心,愿意与安全团队合作。
例如,检测到可疑文件传输时,可以给员工发个留言说,“我们注意到有文件被传输到个人电子邮件账户,您能确认一下是否知情吗?”,而不是“我们收到通知,您将文件传输到了个人电子邮件账户,所以我们要锁定你的计算机”。或者,如果有人没完成要求的安全培训,你可以说:“我们的记录显示,您的安全培训已过期,您能确认吗?”很多情况下,这种询问会收到员工发来的回复,问哪里可以找到该培训,表明这不过是个教育/沟通问题,而不是故意无视。
安全问题会催生很大压力,无论是对员工还是对安全团队。我们需要重塑并加强安全叙事,强调大多数员工都是善意的。这么可以向员工表明,安全团队将公司员工看做值得信赖的安全合作伙伴;还可以使业务部门在安全方法上更加高效和主动。