正规信息安全教育的重要性


确保合适的人学习合适的内容,并建立指标以确保知识的转移,这都是正规信息安全教育(此处指参加线下课程、参加线上培训课程(直播或录播),或通过印刷材料自学)至关重要的原因。

你总是关注这个需求。这就像去看一位只读过医学书籍从未上过医学院的医生,或者请一位只读过法律书籍从未上过法学院并毕业的人为你辩护。事实上,在许多情况下,个人在执行特定职责之前,有法律义务获得特定的正规教育。

关于处理个人信息需要采取安全预防措施的法律可能仍在制定中,但对该主题的教育至关重要。随着时间的推移,广泛的专家群体制定并更新了正规安全教育的课程标准。例如,参加涵盖 CISSP 课程的官方 CISSP 培训课程的人员知道,所选教学信息是有充分理由的,因为它是由许多专家创建和完善的。除了显而易见的事业优势外,通过掌握这些材料还可以获得相关领域的认证。

信息安全

美国国家标准与技术研究院 (NIST) 将信息安全定义为“保护信息和信息系统免受未经授权的访问、使用、披露、中断、更改或破坏,以维护机密性、完整性和可用性”。

数据安全包括在信息存储(“静止状态”)和传输(“动态状态”)过程中保护信息。

虽然这两个短语有时可以互换使用,但信息安全和网络安全是不同的但相关的概念。信息安全 (infosec) 侧重于保护计算机系统,而计算机安全(网络安全)则涵盖对组织资产的防御,计算机系统只是众多资产中的一种。数字领域的安全性包括数据保护以及应用程序和网络安全。

信息安全的重要性

美国网络安全素养法案

美国网络安全素养法案 (ACLA) 于 2021 年 6 月由美国政界人士提出,旨在提高该国的网络安全意识和教育。网络安全信息共享和保护法案规定,国家电信和信息管理局 (NTIA) 必须开展公共教育宣传活动,以提高人们对采取预防措施以应对网络攻击和其他网络安全威胁的必要性的认识。

  • 密码安全

  • 多因素身份验证

  • 公共 WiFi 网络的风险

  • 电子邮件钓鱼诈骗

  • 移动安全

  • 安全协议和应用程序

  • 减轻网络攻击影响的既定策略

ACLA 法案的通过是网络素养发展的一个积极进展。虽然用户教育至关重要,但保护组织的数据需要的不仅仅是这些。还需要完善且最新的信息安全策略。

Explore our latest online courses and learn new skills at your own pace. Enroll and become a certified expert to boost your career.

数据保护至关重要

信息安全实践降低了 IT 系统可能遭到破坏的可能性。

信息技术 (IT) 系统(尤其是参与数据创建、存储或传输的系统)特别容易受到安全漏洞和其他网络攻击。尽管如此,这些程序实施有效的信息安全措施来防止这些危险。此外,它还可以防止诸如拒绝服务攻击 (DoS) 之类的威胁,这些威胁会导致服务中断和停机。

如果公司没有实施此类程序,黑客可能会窃取敏感或重要信息。此类事件可能导致客户服务问题、损害公司形象、监管机构的经济处罚以及日常运营中断。

影响其价值的因素

有了可靠的信息安全,公司可以降低安全漏洞和数据丢失的可能性,确保其持续运营,并保护其客户、资产和声誉。因此,确保数据安全是首要责任。同时,监管环境正在快速变化,以适应保护个人信息和确保消费者隐私的新措施。组织必须保护信息以遵守这些规则,从而增加了对信息安全的需要。

常见威胁

存在各种可能危及组织数据的风险,其安全人员应该了解这些风险。

恶意软件

恶意软件是一个常见且严重的问题,它危及任何组织的数据。如果用户下载并运行恶意软件或可执行文件,或者用户将恶意 USB 驱动器或其他便携式媒体插入其计算机,则恶意软件可以侵入目标的 IT 系统。恶意行为者发送的电子邮件(钓鱼)或受感染的链接是恶意软件传播的另一个常见媒介。

凭据、客户数据、商业机密和知识产权只是威胁行为者可以使用恶意软件窃取的一些敏感信息。网络罪犯可以使用勒索软件锁定受害者的系统。锁定后,黑客会要求付款才能释放它。在避免和减少恶意软件攻击的影响的同时,重要的是要建立各种措施。

第三方风险

根据最近的研究,大多数企业(一项调查中为 51%)的数据已被外部人员窃取。至少 74% 的受害者将攻击归咎于过于宽松的数据访问权限。

为了降低成本、加快运营和加快上市策略,每个企业都依赖于各种各样的外部人员,包括供应商、供货商、承包商和顾问。但是,与其他方合作时,数据被盗、丢失或泄露的可能性会增加。

为了避免因第三方供应商造成的安全漏洞,必须进行频繁的风险评估并实施可靠的第三方风险管理方法。

威胁行为者使用社会工程技术(如钓鱼)操纵目标(通常是员工)绕过安全措施或泄露私人信息。

使用过时的软件

许多漏洞和缺少的修复程序,即使是最新的软件,也使其不安全。由于这些漏洞,网络罪犯可以快速访问组织的系统并窃取敏感信息。在降低这些漏洞的可能性和最大限度地减少安全问题的同时,持续修补和升级所有软件和操作系统至关重要。

不安全的连接

可以使用安全解决方案来保护信息资产,包括防火墙、防病毒软件、端点检测和响应系统以及安全信息和事件管理 (SIEM) 平台。由于缺乏此类机制,黑客和其他数据泄露的机会将会更多。

对信息安全政策过于宽松可能导致使用不安全的个人网络、绕过密码保护以及使用与员工职能无关的不必要资源。

结论

最后,当员工缺乏网络安全知识并养成不良的网络安全习惯时,与不安全网络相关的信息安全风险会加剧。

更新于:2022年12月26日

浏览量:134

开启你的职业生涯

通过完成课程获得认证

开始学习
广告