从管理的角度预防内部威胁导致的数据泄露

2017年，我们见证了数起最具破坏性的网络攻击。内部威胁继续领跑大型数据泄露主要原因排行榜。

随着恶意软件即服务的兴起，内部人员如今更能破坏公司的运营，更易于盗取公司数据到暗网售卖。如果缺乏管理层的正确支持，我们几乎不可能预防重大数据泄露。恶意内部人员与危险恶意软件的组合，意味着管理层需要更积极地参与进安全工作中来。

管理层倾向于认为网络安全最好交给IT部门或内部网络安全团队来做。然而，这种思维与当今良好网络安全操作相去甚远。之所以会有这种错误的观念，很大程度上是由于网络安全固有的技术本质;而有关人员和过程的其他方面却被忽略掉了。

本文专注于可改善网络安全中人员与过程方面的最佳管理操作，讨论公司企业可采取何种措施来确保其网络安全始终保持优质水平。

数字资产识别

我们采用的资产概念来自于 ISO 55000 标准。

根据ISO标准，资产就是对企业而言具有当前或潜在价值，且处于企业管理范畴之内的东西。

虽然 ISO 55000 对资产的定义偏重于物理资产管理，但这一定义同样适用于包括数据在内的数字资产。“关键资产”则不仅仅取决于其价值，关键资产是一旦受损就可能会严重损害企业持续运营能力的东西。

当今世界，对任何企业而言最重要的资产就是数据了。

然而，并非所有的数据都同等重要。每家公司都对其客户、合作伙伴、仓储、供应商的数据及其自身运营数据负有责任。流经企业的数据流通常包括金融数据、运营数据、客户个人可识别数据，有时候还会有机密数据。

预防数据泄露的第一步，就是识别并分类这些数据。虽然IT部门了解公司各类系统的运行状况，但他们往往不清楚整体业务运营过程。作为管理人员，这就是你可以发挥作用的地方。

数据往往可被分为如下几类：公共数据、内部数据、机密数据和监管所需数据。必须标明哪类数据与公司哪个过程相关。网络罪犯通常不会试图获取所有类型的数据。有时候他们只想要内部数据，其他时候也可能针对内部数据、机密数据或监管所需数据。但是网络罪犯和内部人员一般都有试图获取的某类特定数据。

内部威胁解决方案

内部威胁是每一家公司企业都面临的一类非常独特的安全问题，需要特定的资源来加以解决。

内部威胁解决方案就是为此而设的。解决方案是全公司范围内施行的一个计划，具备统一的愿景和使命，有各自的角色、职能，还有针对性培训。理想情况下，该方案应纳入人力资源、法务、IT、工程、数据拥有者和各部门主管。但最重要的是，该方案应仅涵盖公司中最可信的个人。

内部威胁解决方案是要建立起相关信息的来源、一系列协议和机制，用以检测、预防和响应内部威胁。其中应包含有方案的使命、详细的预算、监管结构和一个共享的平台。

以上这些还仅仅是方案的构成，方案的执行需要：

1. 合规与过程监管理事会

该组织的存在是要审查公司现有过程并提出修改建议以预防内部威胁。

2. 报告机制

办公室政治、抱团行为和其他很多因素都会阻碍员工报告可疑行为。因此，对可疑内部人员的报告机制应是保密的，以防揭发者会受到报复。

3. 事件响应计划

已发现内部威胁，甚至都有证据证明内部人员导致了数据泄露，此时难道仅仅是炒了他们并向官方举报吗?如果有个内部事件响应计划的话，这些问题就可以有个更为明晰的答案了。响应计划会详细阐明警报的触发、管理和升级步骤。而即便有了这么详尽的步骤，每一步行动和流程仍需引入时间框架。

4. 针对性培训

内部威胁培训是对公司内所有人员的意识培训项目。不过，直接涉及内部威胁方案的人员会接受更有针对性培训，以更好地检测并缓解内部威胁。

5. 基础设施

这一组件很直观，就是用来检测、预防和响应内部威胁的基础设施;支持管理层达成其使命的技术。部署的技术应定期审查，优中择优。

一个典型的内部威胁方案共包含13个部分。上面没列出的还有：言论自由保护、通信框架、内部威胁方案支持策略、数据收集工具、供应商管理和风险管理集成。

安全审查与监视(HR)