根据Ponemon 的内部威胁成本报告,疏忽员工造成了大约 62% 的安全事件,每起事件的平均成本为 307,111 美元。几乎三分之二的数据泄露都是从错误开始的,而不是造成伤害的意图。当员工错误地导致数据泄露时,就会发生非恶意数据泄露。与内部人员利用其访问权限制造麻烦的恶意攻击不同,非恶意攻击通常是意外或疏忽。
例如,如果员工点击网络钓鱼电子邮件,那么他们的行为可能会导致勒索软件感染网络。如果员工错误地暴露数据然后被盗,也可能发生违规行为。或者,员工可能不小心向错误的人发送了一封电子邮件,2022 年人为错误心理学研究发现 58% 的员工在工作中已经这样做了。
企业应如何应对?
公司可能在攻击后的数天或数月内都没有意识到内部漏洞。他们的反应方式可以为员工在未来挺身而出奠定基础。员工可能不知道他们犯了错误,或者可能害怕告诉领导层。在公司没有意识到违规的情况下过去的每一天都意味着更多的损失。
工具——借助专业的数据防泄漏软件来帮助企业以及IT人员检测防范已经发生的或即将发生的数据防泄漏,例如。借助OneDLP数据防泄漏系统,你可以检测企业员工日常的上网行为,监测来往邮件,分析是否有敏感信息被外发,并在此行为发生前及时阻断;扫描电子邮件中的链接并警告员工潜在问题的网络钓鱼工具可以帮助减少非恶意违规行为。通过将工具与培训相结合,您通常可以减少导致违规的错误。
培训——查看您当前的培训,看看您是否需要在特定领域添加更多内容。例如,假设违规是由网络钓鱼引起的。在单击链接之前,您可能需要更新要查找的示例和标志。您还应该评估培训的频率。许多组织决定增加网络安全培训的频率,并寻找将其纳入与员工沟通的方法,而不是一年一次的培训。
