内部风险管理需要人性化策略

内部风险不仅仅与恶意行为者有关，在大多数情况下，它是由失误引起的，有人将敏感文件发送到错误的地址，或将文档上传到个人云以便在家工作，在许多情况下，这并非出于恶意，因为许多内部事件是由疏忽而非恶意造成的。

尽管如此，恶意的内部人员可能会造成毁灭性后果，有些人窃取知识产权，有些人则被外部团体贿赂或施压，要求他们植入勒索软件、窃取商业机密或关闭运营。

内部风险的影响已波及整个企业，不再局限于网络安全团队，据Code42称，86%的人表示，内部事件会影响公司文化。

据Capterra的高级安全分析师Zach Capers称，适当限制数据的企业遭受内部攻击的可能性降低一半，企业应遵循最小权限原则，确保员工只能访问其工作所需的数据，应密切监控高权限用户，并将管理权限的使用降至最低。

依赖工具是很诱人的，现代平台可以标记异常行为、跟踪文件移动并向安全团队发出警报，但检测并不能解决更深层次的问题。

对内部风险的纯技术回应可能会偏离目标，我们需要理解人性的一面，这意味着要关注模式、动机和文化，过度监控而不考虑上下文可能会赶走优秀员工，反而增加风险而非降低风险。

在工作场所监控方面，清晰和开放至关重要。“透明始于有意的沟通，”MIND的首席技术官Itai Schwartz说，这意味着要向员工坦诚相告，不仅要告知他们正在进行监控，还要说明监控的内容、原因以及它如何有助于保护公司和员工。

Schwartz表示，当企业明确将监控与安全联系起来而非监视时，通常会获得员工的支持。“员工应该知道监控是为了保护数据——而不是监视个人，”他说。如果人们能看到这对他们和业务有何益处，他们就更有可能支持监控。

具体性是关键，Schwartz建议明确概述哪些活动、数据或系统正在被监控，并解释警报是如何触发的。“文档应该易于查找、易于理解，并在入职和培训期间得到强化。”他说。

道德监控也意味着划定界限，Schwartz强调了比例原则的重要性：只收集相关和必要的信息。“让员工了解他们的行为如何影响风险，并利用这些信息来指导而非惩罚他们，”他说。如果你的监控方法无法舒适地与团队分享?“它很可能需要改进。”

最终，Schwartz表示，目标是“构建既尊重用户隐私又保护企业数据的系统”。

通常，员工并不知道他们正在制造风险，令人困惑的政策会使情况变得更糟，安全团队应制定简短且与特定职位相关的政策。

不要将期望埋藏在无人阅读的PDF中，使用真实案例对人员进行培训，并向他们展示在日常任务中如何表现安全。

最小权限仍然是最重要的控制措施，将员工访问权限限制为他们所需的文件和系统，但不要设置后就忘记，当人们换工作、承担新项目或调换团队时，权限会发生变化。

定期审查访问权限，身份治理工具提供自动化工作流程来管理和审计访问权限。

据Ivanti称，僵化的安全协议(如复杂的身份验证过程和高度限制性的访问控制)可能会让员工感到沮丧，降低生产力并导致不安全的工作方式。

在制定有效的安全政策时，简单性和可用性应放在首位。“最好的安全政策是实用、具有上下文意识和人性化的，”MIND的CEO Eran Barak说。Barak主张采用能引导员工行为的政策，而不是依赖惩罚失误的僵化规则。

这始于观察，Barak建议不要凭空制定政策，而是要研究工作流程并围绕这些模式制定规则。“首先要了解员工的工作方式，然后围绕这些模式制定政策。”他说。模糊的指示帮助不大，因此最好包含具体细节——在Slack中分享什么是可以的，什么不能粘贴到AI聊天机器人中，以及何时应标记可疑内容。

为了保持政策的相关性，Barak建议建立反馈循环。政策不应随着风险格局的变化而停滞不前。“它们应该发展，而不是停滞不前，”他说。重要的是，它们不应自上而下地颁布而没有输入。“与团队共同制定政策，”他说。“对安全决策有归属感的人更有可能采纳它们。”

当需要执行时，不必严厉，Barak建议使用自动化工具在实时中提供温和的提醒——想想教育信息或要求用户解释其行为的提示，必要时再升级。“从温和的减速带和教育信息开始，在政策违规时近乎实时地提示，并允许用户提供理由。”他说。

最重要的是，保持简单。“如果一个政策不能用几个要点或在Slack消息中解释清楚，那么它就太复杂了。”Barak说。

即使在最安全的环境中，人类行为仍然是一个重大漏洞。因此，网络安全领导者必须采取积极主动、以人为本的方法来管理风险，Mimecast表示。

记录每次点击并无帮助，相反，要寻找变化的迹象，用户是否开始在奇怪的时间登录?他们在辞职前是否下载了大量数据?

行为分析工具可以揭示这些趋势，但人们仍然应该是审查过程的一部分，算法可以标记，但人类必须决定什么是危险的。

据Protasec的首席安全官Josh Harr称，获得高层的支持并建立广泛的意识至关重要。“我相信对风险本身的认识和支持是首要任务，”Harr说。“我向高管们提供了不使用企业中数据可能带来的成本，以确保我们不会面临更高的内部威胁风险。”

这种意识不应仅停留在高层。“对整个企业而言，意识也很实际，”他补充道。Harr主张对所有层级进行增量培训，特别是对董事和管理层，以帮助他们识别行为中的潜在红旗。“对董事、经理和其他人进行增量培训，教他们如何识别行为，这大有帮助。”

为了将这种意识付诸实践，Harr已在企业中实施了内部风险评分卡，这些工具在个人层面分析网络钓鱼模拟结果、终端活动和恶意软件风险评分等信号。“这些评分卡使企业能够采用基于风险的方法进行调查和威胁搜寻，”他解释道。“通过为系统上的个人行为建立基准，领导者可以全面了解风险所在，从而保持充分了解。”

在减少内部风险方面，另一个未被充分利用的工具是许多行业已经常见的做法：访问认证。“年度访问审查有助于防止访问范围的扩大，”Harr指出——但前提是与行为监控和培训相结合。“只有执行了上述措施。”他警告道。

安全取决于文化，员工必须感到安全，才能报告错误或可疑行为，如果他们害怕受到惩罚，就会保持沉默，风险也会增加。

“定期认可和表扬团队中的网络安全行为，不仅能提升那些勤奋工作的人，还能激励其他人参与进来，这可能包括表彰遵循最佳实践、识别潜在安全威胁或为改进安全做出贡献的个人。”Optiv的网络安全教育专家Emily Wienhold解释道。

匿名报告工具、开放政策以及人力资源部门的支持都有助于此，提醒人们目标是保护而非惩罚也是如此。

文化在预防内部事件方面发挥着重要作用，同理心和培训与技术同样重要。

“通过培训和清晰沟通，在整个企业中树立安全第一的心态，确保风险管理适应新威胁，支持创新和合规。”Veracode的首席安全倡导者Chris Wysopal说。

CISO无法独自完成这项工作，人力资源团队可以检测员工的不投入并标记出问题的早期迹象，法律部门则有助于应对隐私和合规规则。

组建一个小型跨职能团队来管理内部风险，该团队应审查监控决策、指导调查并保护员工权利。

“真正的疏忽或故意行为应得到妥善处理，但分配责任和实施惩罚必须是在客观、合理的调查之后的最后一步，它绝不应是默认反应。”Praxis Security Labs的CEO Kai Roer指出。