D1net观察：安全问题猛于虎，是每个企业都不能忽视的，而大部分安全问题并不是来自天灾，而是来自“人祸”。在安全问题上，如果意识到其重要性并积极地采取措施，就能在很大程度上减少安全隐患。下面让我们来了解一些常见的安全隐患及一些积极的应对之策。

阻止一个目的明确，富有经验的对手入侵，这或许不太可能，但基本的安全工作可以阻止大多数的入侵，这一点在本周波士顿学院网络安全小组会议上得到一致认可。

如果他们只是锁好自己网上的门窗，那么大多数企业就可以消除超过75%的网络入侵风险。

这是星期三在2017年网络安全波士顿会议上就网络风险问题的小组讨论中主要结论之一，该会议由美国联邦调查局和波士顿大学伍兹高等研究学院联合发起的。

该会议议题为“您管控好自己的网络风险了吗?来自法律方面和CISO角度的挑战”，该会议由Cynthia J. Larose主持，她是Mintz Levin律师事务所隐私与安全实务工作的合作伙伴和主席，该小组会议成员来自多个工业部门、教育部门和政府机构。

人们普遍认为，虽然在工作场所人们对网络风险有更高的认识，复杂的技术和人类弱点所构成的综合挑战意味着，太多的企业仍然是攻击者“唾手可得”的目标。

E.J. Yerzak是“Ascendant合规管理公司”的合伙人，他与多家金融行业公司合作，包括投资顾问公司，他说，他经常遇到“落后于当今形势”的公司。

“在网络安全策略和计划方面，他们无任何书面文件，”他说，“这是一个大麻烦，因为某领导认为发生的事情和实际发生的事情之间存在着距离。”

他说，一家公司的CEO自信地告诉他，他的公司根本不使用云服务。“但通过我和其他部门交谈，他们正在使用几乎所有的云服务，包括Dropbox等服务，”他说。

从事消费者权益保护工作的马萨诸塞州助理总检察长Sara Cable称这个故事“令人兴奋”，并说道，这不仅有可能违反马萨诸塞州的法律，而且也极度缺乏商业头脑。

“我们对法律无知的容忍度正在迅速降低，”她说，“但我们也在谈论商业资产。许多网络攻击其实并不复杂，很容易进行防范。这就像人们在尝试推开各家的门，来看看哪扇门未锁，然后他们就找到了很多敞开的门。”

塔夫斯大学信息安全主任和首席信息安全官(CISO)Lorna Koppel说，她最难处理的问题是人为因素，部分原因是由于存在不同的人员群体，包括学生、行政人员、工作人员和教师，他们在意识上都有不同的重视程度和水平。

“很多人不了解风险，”她说。“他们认为，‘没有人会在乎我的电子邮件。’人们都想做正确的事情，但挑战让他们必须面对。”

Yerzak说，这些人类弱点是他所看到的大多数来自内部威胁的原因，“善意”的员工可能在工作数小时之后“试图帮助”攻击者，而该攻击者假扮成有紧急请求的顾客。

“他们点击一个链接，打开一个附件，然后恶意软件进入系统，”他说。“我们看到目前勒索软件的猖獗传播。所有的控制手段、策略和程序都无法克服人为因素。”

Cable想知道，“为什么我们不能嵌入一些小提示，弹出一个东西，询问你是否确定要点击链接。”或者为什么高层管理者不能定期发出一些政策声明，比如“我永远不会发电子邮件来索要某些信息。”

“有一些简单的小技巧就很有帮助，”她说。

Larose建议，“应该更经常性地提醒，而不只是通过年度安全意识培训会议”，使员工对安全工作保持更高的意识和更大的关注。

Cable说道，在她看来，企业最重要的事情就是不要让这些对复杂攻击的恐惧使他们无能为力。“复杂的攻击是极为罕见的，”她说。“偶发性攻击更为常见，作为一个企业，如果你花一点时间做一些工作，比如查看一下您都有什么敏感信息?这些信息都存放在哪里?这些信息在向哪里移动?然后采取措施进行保护，这样的话，这些偶发性攻击都是可预防的。”

“法律需要做出合理的努力，但它并不完美，”她说。“我认为我们应赋予人们一定的能力，来让他们做一些不太复杂的预防工作，这是可行的。”

本文转自d1net（转载）