无论您的公司是属于哪个市场领域,或拥有多少数据,风险都永远存在。不过,面对网络安全问题,企业并不需要将其视为无休止的战斗,而是可以把握机遇,采取主动的方法,以掌握控制权。许多企业因为密码安全性差,缺乏网络安全技能,以及为求得便利而忽略安全性,无谓地使公司和员工处于风险之中。
傻瓜式密码
有预计显示,普通互联网用户有200个需要密码的帐户,这一数字在未来五年内还将翻倍。那么,我们也许不应对用户重用密码的现象感到惊讶了。用一位首席执行官的话来说:
30年来未改变之事:人们口中的杂谈和简单至极的密码!
英国国家网络安全中心的漏洞分析发现,全球有2,320万受害帐户使用的密码是“123456”。
我们需要阻止IT团队重用密码,或作为管理员和用户时都使用相同的密码。
活动中,一位参会者如是评论道。甚至全球顶级公司也会犯错:在发生马士基NotPetya攻击之后,一名独立网络安全研究人员发现,在南美水域的一艘船正在使用默认凭据(用户名“admin”和密码“1234”)来保护其卫星通信系统,这实际上就相当于向黑客敞开了大门!
面对密码安全性弱的问题,许多公司的反应是采用更严格的密码和访问控制。但是,这就带来了进一步的挑战,即如何在访问的便利性与强大的安全性之间权衡取舍。
IT用户:是敌是友?
有预计显示,针对如何保护公司免受网络威胁,约三分之二的数据保护和隐私培训专业人士认为其员工是“最薄弱的环节”。这场活动也反映出了这种情绪,一位公共领域的公司高管承认:“我们(企业)没有将用户视为客户,而是觉得他们令人厌烦”。
由于没有考虑到用户的服务需求(例如简单高效的身份验证),许多用户诉诸于在企业网络上下载未经授权的应用程序。这种影子IT的使用非常普遍:根据2019年的一份报告,有67%的最终用户或团队未经IT团队的批准,就安装了自己的协作工具。
网络安全专家
将矛头指向用户可能很容易,但现实是,没有强大的网络安全专业人士,我们就无法应对网络犯罪。这就是我们面临的第三个挑战。尽管网络安全是技术领域薪酬最高的专业领域之一,但却面临着相当的技术匮乏。一家慈善领域公司的参会代表分享了他对公司的不满:
我们一直在招人,但高校应届生中缺乏网络安全专业人士。安全人才出现了缺口,当前这一代的网络专业人员也将退休,因此会有大量劳动力流失。
因此,全球有将近300万个网络安全职位空缺的现象也就不足为奇了。参会者们认为,使这些问题变得更加复杂的是,人才在从网络安全流向人工智能和机器学习等领域。
安全 vs 便利
即使不乏人才,购买新软件以增强安全性和身份验证的做法也可能会被视为对用户体验或品牌声誉带来负面影响。另一方面,如果不投资或仅购买基本的身份验证工具(可能会吸引希望按需访问应用程序的用户),则会以牺牲安全性为代价。
获得成本、便利性、安全性之间恰到好处的动态平衡至关重要,但在不同部门的需求、期望和目标差异很大的机构内部,这却并非易事。
一家国际体育品牌的高管举了一个很恰当的例子。他说:“我的公司有很多不同的实体。IT部门希望关闭网站[以保护用户],但CEO却希望能够维持网站运转[以保护品牌声誉]”。
