解決內部威脅風險的實用方法
對於大多數的信息安全方法來說,需要實施分層防禦手段來減少內部威脅的發生。技術上,可以用先進的日誌及日誌過濾技術來監控高風險的員工。要監控的活動包括傳輸或是郵寄的大文件,給競爭對手的郵件、發往他們個人郵箱地址的大量郵件和文件,以及發往不合情理的國家或是異常站點的文件。
對於此類監控行爲必須再次重申,所有的活動需要遵守法律規定。
以下是組織內不同部門的其它工作思路的列表,能夠用於保護組織的數據免於內部威脅:
人力資源部門
對所有可能的員工、承包商和分包商進行背景檢查。確保包括工作經歷驗證、犯罪記錄檢查以及相關的推薦人驗證。
對於任何將要處理金錢、金融設備、高價值資產等等的員工進行信用檢查。坦率地說,隨着所有人關注我們艱難的經濟,對新員工、承包商、分包商進行信用檢查也許是有用的審覈過程。這能確保新員工不是高風險的,因爲他們絕對不會需要金錢來還債。
監控異常的財務狀態變化。
爲監督人/經理以及員工建立關於內部威脅的定期培訓機制,並且培訓祕密地報告可疑行爲或是個人的方法。
監控並報告搗亂的或是可疑的活動。甚至在僱用期間對涉及任何破壞行爲的人進行背景檢查。
對可能影響工作場所的負面消息或是謠言提前採取行動並管理。
一旦僱用關係中止,則禁用員工的計算機訪問和遠程訪問。值得注意的是,一些公司一旦收到辭職申請後就立刻禁用計算機訪問,以便更好地保護數據和系統免於傷害。
制定內部威脅事件的應急預案。這可能是你的工作場所破壞計劃中的一部分。
報告外部人員在工作場所的可疑聯繫。這可能是有組織的罪犯或是間諜代理人在收集/移動數據或資金。
管理部門
創建清晰明瞭的文檔並強制執行策略、流程以及控制措施來防範內部偷竊/威脅。
強制執行職責分離和最小權限。不允許員工訪問沒有理由查看、獲取或是下載的信息。同樣,確保財務上的任務是分隔開來的,例如保持對應付賬款和應收賬款的訪問是分隔和不同的。簡單來說,組織不想讓某人根據以欺騙手段寫的賬單來開發票。
限制使用便攜媒體,或是在某些環境下禁止使用。
提醒員工——並且讓他們簽署確認聲明:他們創建、管理、使用的知識產權屬於公司而不是員工。
審計關鍵的行爲(例如支票和支付準備工作以及郵件),並且審計任何可能用於操縱帶走資金的異常過程。
對IT資產和數據實施並強制執行恰當的使用策略。強調對敏感或是有價值的信息進行恰當的處理和管理。
技術實踐
從技術上限制員工只能訪問系統上完成工作需要的文件和數據。
最小化或是限制管理員的權限,並且不使用共享的用戶名和密碼。
記錄、監控和審計員工線上的行爲。同樣要確保此類活動的合法性。
實施安全備份和恢復機制,並且確保備份數據沒有被破壞。
阻攔對個人郵箱、web郵箱和競爭對象郵箱的訪問。
自動標識不匹配的數據(例如給某公司的付款與發票的數額)。
未來的挑戰
我們必須面對的事實是,內部威脅可以(很可能已經)在每個企業內發生。隨着不斷增長的業務競爭全球化本質,內部威脅挑戰的增長不會讓我感到驚訝,同樣還有對於我們的IT系統來說,不斷增長的外部信息安全威脅。組織必須始終保持對內部威脅的警惕,包括爲系統不可避免的風險制定計劃。熟知這些風險,併爲這種可能性做好準備,良好的組織將受益於知曉如何快速地響應,以便減少或是防範內部威脅的發生。