不论是何种规模的企业,都面临相同的安全问题:如何保护个人信息不被入侵者窃取。尽管如此,大部分的企业都在犯同样的错误。John McCormick详细介绍了大企业和小企业都会犯的五大安防错误。
个人使用的单个工作站,只有两三台电脑,通过高速网线调制解调器上网的小公司,拥有安全部门的企业网络:无论企业的规模大小,他们都需要应对如何保护个人信息不被盗取的安全问题。
很不幸,担负着安全问题的人们都在犯着同样的基本错误,我列出五个不论中小企业都会犯的严重错误。
1.安全规定执行不力
首当其冲的第一个错误就是未能制订妥善的安全规定,没有对所有使用计算机的人员进行培训,而且对制订好的规定执行越来越松。
人们总是更关注自己应该得到的东西而不留意自己被禁止做什么。所以,如果你的企业希望很好的解决安全问题,就必须建立一套清晰严谨的安全政策。在这些政策中必须对一些基本的使用规则做出规定,比如不要打开不熟悉的邮件,不要出于个人目的上网浏览,不要从网上下载文件等等。
其实多年以来安全专家一直在说这个问题,但为什么还是没起作用?道理很简单:尽管早有政策,但是对于违规者并没有什么严重的处罚,而执行政策的人也没有任何奖励。
有很少几家企业,比如哈佛医学院,贝丝以色列女执事医院就规定,任何级别的人只要违反了一条安全规定就会被开除。除了这种极端少见的做法,也只有少数的机构会建立积分制度对遵守规定的人给予奖励。
我们可以想象如果对安全记录最好的雇员以重大的奖励会给公司安全带来什么样的影响。举例来说,每个人一开始都有100点,不论是否给公司带来实际的危险和损失,每违反规定一次都会被扣掉一分。
制定的安全政策不应仅仅停留在纸面上,更应该激励员工去执行它,这样才能长期的帮助企业提高安全性。
2.对新漏洞的忽视
五大错误的第二名是当新漏洞产生时没有采取相应的措施。
大部分安全部门经理都会自动收到新补丁的通知,或者他们会留意至少一个安全网站的最新消息。很多人曾经订阅IT Locksmith这样的安全通讯来滤掉杂乱信息直接获得最重要的信息。
尽管获得信息的方式如此简单,许多人甚至懒得去读他们订阅的通讯。当然也就只有更少的人会真的按照获得的消息去调整策略或者进行升级。
3. 对科技过于依赖
另一个重大错误是过度依赖技术修复的能力以及对于工具的实际运用关注太少。
如果你对领导说你已装好了顶级杀毒软件或者最新的防火墙,他们就会认为你完成了工作。但实际上,如果防火墙没有正确配置,防病毒软件也没有进行维护,有跟没有是一样。
在特定环境下正确设置防火墙需要很高的技巧。它不是一项设置完就可以丢到脑后的工作,它要比安装杀病毒软件清除恶意软件复杂得多。防火墙需要经常调整以满足最新的要求,当一个新的端口扫描攻击出现时,必须在几周内阻断会受其影响的那些端口。
问题又回到前面的第二个重大错误,人们必须在新的升级和漏洞出现时就给予注意。比如,了解最容易被攻击的10个端口,把计算机安全组织SANS的网页加入收藏夹。对于防病毒程序,不仅仅要及时升级,还必须要留意最新的弥补反病毒软件自身缺陷的补丁。
反间谍软件要比反病毒软件简单得多,所以很少需要打补丁。尽管如此,它们也要和反病毒软件一样要注意经常下载最新的数据库文件。
最后不要忘记,如果忽视安全检测程序发出的报告,所有的安全装置都会失去意义。
4.未能全面考察应聘人员
第四大错误在于未能全面考察应聘者的犯罪记录或财务决策失误等,特别是那些IT部门以外的应聘人。
在美国个人隐私被认为是最重要的基本个人权利,他们比较尊重别人的隐私权,所以在招聘过程中一般不愿意考察应聘人员的背景情况。最近一期IT Locksmith就讨论了用某人的财务历史来判断他或者她是否可靠的方式是否合理的问题。
尽管有许多读者质疑了这个方法,但是出于两点原因,这一方法正在被企业广泛运用。首先,如果一个人在自己的财务问题上粗心大意,那他在保护公司财产上又能有多认真呢?其次,如果某人面临财务压力,他或者她更容易因外界压力而做出危害公司安全的行为。
无论是因为计划不善还是没有控制好自己的冲动,亦或仅仅是由于粗心大意,不论如何解释,破产经历都是一个红色警告。这也许很悲哀,也许很不幸,但这是最常用的做法,因为这很有效。
5.对技术能力期望太多
第五大错误是在制定安全计划时过分的信任IT员工的技术能力。
在挑选安全部门负责人时,大部分经理考虑到网络和软件的复杂程度,会认为技术能力最强的人就是最合适的人选。其实,除了必需的技术知识,安全直觉和偏执对于安全工作更为重要,它可以保证IT部门工作人员都具有软硬件安全技术相关的知识和技巧。
我拥有很强的与大学安全政策部门合作的安全背景和侦探社工作经历,我经常在某家公司转一圈,就会发现十几个致命的安全问题,任何一个错误都可使最好的软件安全措施完全失去作用。如果我想危害某家企业的IT安全,我要么会去清洁公司谋个职位,或者弄套假冒的UPS或FedEx制服。我会背着个大包走进公司然后把我要的东西塞进大包再背出公司。你的公司也可能遭到这样的攻击么?
后记
上周我曾经列出加利福尼亚新出现的一些安全问题。后继的新消息又揭露出一个情报大盗,这一事件说明安全问题在多大程度上还依赖于老派警察的智慧。
3月11日,有人走进加利福尼亚伯克利大学办公室拎走了一台笔记本电脑,电脑内装有超过98000的个信息,甚至包括他们的社会福利号码。这名窃贼的行为不仅说明人们对最简单和最基本的安全的需求,还表明人们对技术有错误性的依赖。显然,大学有专业的加密技术。尽管他们计划给笔记本加密,但是在窃贼偷走笔记本之前,还没来得及进行。
这个窃贼和我上周说的盗取加州其他大学资料的数据窃贼一样给本月就要在加州州立大学召开的第三届信息技术安全年会带来打击。
更为讽刺的是,来看这条消息“加州州立大学主要赞助者强调他们承诺要让高等教育委员会了解和处理信息安全出现的问题”。我本来想参加大会,可是一想到要在网上提供注册信息我又犹豫了!