内部风险管理需要人性化策略

内部风险不仅仅与恶意行为者有关，内部在大多数情况下 ，风险它是管理由失误引起的，有人将敏感文件发送到错误的需人性化地址，或将文档上传到个人云以便在家工作，策略在许多情况下，内部这并非出于恶意，风险因为许多内部事件是管理由疏忽而非恶意造成的 。

尽管如此，需人性化恶意的策略内部人员可能会造成毁灭性后果 ，有些人窃取知识产权 ，源码库内部有些人则被外部团体贿赂或施压
，风险要求他们植入勒索软件、管理窃取商业机密或关闭运营。需人性化

内部风险的策略影响已波及整个企业，不再局限于网络安全团队，据Code42称 ，86%的人表示 ，内部事件会影响公司文化 。

仅检测是不够的

据Capterra的高级安全分析师Zach Capers称，适当限制数据的企业遭受内部攻击的建站模板可能性降低一半 ，企业应遵循最小权限原则 ，确保员工只能访问其工作所需的数据，应密切监控高权限用户，并将管理权限的使用降至最低 。

依赖工具是很诱人的，现代平台可以标记异常行为
、跟踪文件移动并向安全团队发出警报
，但检测并不能解决更深层次的问题
。

对内部风险的纯技术回应可能会偏离目标 ，免费模板我们需要理解人性的一面，这意味着要关注模式、动机和文化，过度监控而不考虑上下文可能会赶走优秀员工 ，反而增加风险而非降低风险。

在工作场所监控方面，清晰和开放至关重要。“透明始于有意的沟通，”MIND的首席技术官Itai Schwartz说，这意味着要向员工坦诚相告，不仅要告知他们正在进行监控，还要说明监控的内容、亿华云原因以及它如何有助于保护公司和员工。

Schwartz表示，当企业明确将监控与安全联系起来而非监视时 ，通常会获得员工的支持。“员工应该知道监控是为了保护数据——而不是监视个人 ，”他说。如果人们能看到这对他们和业务有何益处，他们就更有可能支持监控。

具体性是关键
，Schwartz建议明确概述哪些活动 、数据或系统正在被监控，并解释警报是服务器租用如何触发的  。“文档应该易于查找 、易于理解，并在入职和培训期间得到强化 。”他说 。

道德监控也意味着划定界限，Schwartz强调了比例原则的重要性 ：只收集相关和必要的信息 。“让员工了解他们的行为如何影响风险，并利用这些信息来指导而非惩罚他们 ，”他说 。如果你的监控方法无法舒适地与团队分享?“它很可能需要改进  。香港云服务器”

最终 ，Schwartz表示，目标是“构建既尊重用户隐私又保护企业数据的系统” 。

简单政策 ，智能访问控制

通常，员工并不知道他们正在制造风险，令人困惑的政策会使情况变得更糟，安全团队应制定简短且与特定职位相关的政策。

不要将期望埋藏在无人阅读的PDF中，使用真实案例对人员进行培训 ，并向他们展示在日常任务中如何表现安全
。

最小权限仍然是最重要的控制措施，将员工访问权限限制为他们所需的文件和系统 ，但不要设置后就忘记 ，当人们换工作 、承担新项目或调换团队时
，权限会发生变化。

定期审查访问权限
，身份治理工具提供自动化工作流程来管理和审计访问权限。

据Ivanti称，僵化的安全协议(如复杂的身份验证过程和高度限制性的访问控制)可能会让员工感到沮丧 ，降低生产力并导致不安全的工作方式
。

在制定有效的安全政策时，简单性和可用性应放在首位。“最好的安全政策是实用、具有上下文意识和人性化的，”MIND的CEO Eran Barak说  。Barak主张采用能引导员工行为的政策
，而不是依赖惩罚失误的僵化规则。

这始于观察
，Barak建议不要凭空制定政策，而是要研究工作流程并围绕这些模式制定规则 。“首先要了解员工的工作方式，然后围绕这些模式制定政策 。”他说 。模糊的指示帮助不大 ，因此最好包含具体细节——在Slack中分享什么是可以的，什么不能粘贴到AI聊天机器人中 ，以及何时应标记可疑内容。

为了保持政策的相关性，Barak建议建立反馈循环 。政策不应随着风险格局的变化而停滞不前 。“它们应该发展 ，而不是停滞不前，”他说。重要的是，它们不应自上而下地颁布而没有输入 。“与团队共同制定政策 ，”他说。“对安全决策有归属感的人更有可能采纳它们。”

当需要执行时，不必严厉，Barak建议使用自动化工具在实时中提供温和的提醒——想想教育信息或要求用户解释其行为的提示，必要时再升级
。“从温和的减速带和教育信息开始，在政策违规时近乎实时地提示，并允许用户提供理由
。”他说。

最重要的是 ，保持简单 。“如果一个政策不能用几个要点或在Slack消息中解释清楚，那么它就太复杂了 。”Barak说。

行为比活动更重要

即使在最安全的环境中，人类行为仍然是一个重大漏洞
 。因此 ，网络安全领导者必须采取积极主动、以人为本的方法来管理风险 ，Mimecast表示。

记录每次点击并无帮助，相反，要寻找变化的迹象，用户是否开始在奇怪的时间登录?他们在辞职前是否下载了大量数据?

行为分析工具可以揭示这些趋势，但人们仍然应该是审查过程的一部分，算法可以标记
，但人类必须决定什么是危险的。

据Protasec的首席安全官Josh Harr称
，获得高层的支持并建立广泛的意识至关重要
。“我相信对风险本身的认识和支持是首要任务 
，”Harr说
。“我向高管们提供了不使用企业中数据可能带来的成本，以确保我们不会面临更高的内部威胁风险。”

这种意识不应仅停留在高层。“对整个企业而言 ，意识也很实际，”他补充道。Harr主张对所有层级进行增量培训 ，特别是对董事和管理层
，以帮助他们识别行为中的潜在红旗。“对董事 、经理和其他人进行增量培训
，教他们如何识别行为，这大有帮助 。”

为了将这种意识付诸实践 ，Harr已在企业中实施了内部风险评分卡，这些工具在个人层面分析网络钓鱼模拟结果、终端活动和恶意软件风险评分等信号
。“这些评分卡使企业能够采用基于风险的方法进行调查和威胁搜寻，”他解释道。“通过为系统上的个人行为建立基准，领导者可以全面了解风险所在，从而保持充分了解 。”

在减少内部风险方面，另一个未被充分利用的工具是许多行业已经常见的做法 ：访问认证
。“年度访问审查有助于防止访问范围的扩大 ，”Harr指出——但前提是与行为监控和培训相结合。“只有执行了上述措施。”他警告道。

鼓励报告错误

安全取决于文化
，员工必须感到安全 ，才能报告错误或可疑行为，如果他们害怕受到惩罚 ，就会保持沉默，风险也会增加 。

“定期认可和表扬团队中的网络安全行为，不仅能提升那些勤奋工作的人，还能激励其他人参与进来，这可能包括表彰遵循最佳实践、识别潜在安全威胁或为改进安全做出贡献的个人。”Optiv的网络安全教育专家Emily Wienhold解释道 。

匿名报告工具
 、开放政策以及人力资源部门的支持都有助于此，提醒人们目标是保护而非惩罚也是如此。

文化在预防内部事件方面发挥着重要作用
 ，同理心和培训与技术同样重要。

“通过培训和清晰沟通  ，在整个企业中树立安全第一的心态  ，确保风险管理适应新威胁，支持创新和合规
。”Veracode的首席安全倡导者Chris Wysopal说 。

与人力资源和法律部门合作

CISO无法独自完成这项工作 ，人力资源团队可以检测员工的不投入并标记出问题的早期迹象 ，法律部门则有助于应对隐私和合规规则。

组建一个小型跨职能团队来管理内部风险 ，该团队应审查监控决策、指导调查并保护员工权利 。

“真正的疏忽或故意行为应得到妥善处理，但分配责任和实施惩罚必须是在客观、合理的调查之后的最后一步，它绝不应是默认反应 。”Praxis Security Labs的CEO Kai Roer指出。