HSO:人力安全官

栏目: 编程工具 · 发布时间: 5年前

内容简介:需求:负责识别和缓解特别针对内部员工的攻击方法及漏洞的安全主管。很明显,终端用户是大多数重大攻击的主要攻击途径。无论是用网络钓鱼、传统社会工程,还是通过物理入侵,高级攻击者很清楚从用户下手远比探测技术漏洞更容易找到进入公司的有效入口点。同样重要的是,善意用户造成的伤害总的说来比恶意用户造成的伤害还大。因此,需通过意识培训来让用户更能灵活应变,更具恢复力。

需求:负责识别和缓解特别针对内部员工的攻击方法及漏洞的安全主管。

HSO:人力安全官

很明显,终端用户是大多数重大攻击的主要攻击途径。无论是用网络钓鱼、传统社会工程,还是通过物理入侵,高级攻击者很清楚从用户下手远比探测技术漏洞更容易找到进入公司的有效入口点。同样重要的是,善意用户造成的伤害总的说来比恶意用户造成的伤害还大。因此,需通过意识培训来让用户更能灵活应变,更具恢复力。

现实是,意识培训某种程度上有效,但需要做的事还有很多。

需设置相关技术手段预先阻止用户的危险动作。在安全界,90%的工作场所意外事故都可以通过创建一个能防止员工暴露在危险情况下的环境而得到避免。比如说,在员工经常被叉车撞到的工厂里,可以在过道上画线,开辟明显的走道。这一简单的改变就几乎规避了所有涉及叉车的事故。仅有的零星事故也是因为行人低头看手机太投入而自己撞到叉车上的。

网络安全世界里,创建安全环境意味着运用反恶意软件程序、垃圾邮件过滤器和PC防护措施来阻止用户安装软件。创建一个安全的环境不仅可以过滤掉 99.9% 的潜在攻击,让威胁根本沾不到用户的边儿,还能阻止来自用户自身的破坏或伤害。但很明显,仍有攻击能够突破防线,所以意识培训仍是减少风险的必备措施。

意识培训项目应聚焦用户该怎样恰当地完成自身工作,而不是恐吓他们应该惧怕哪些行为。这就涉及到恰当监管的概念了。用户不可能识别出所有可能的骗局,但他们至少应能够遵循恰当的动作规程。

聚焦用户

虽然基本上大多数公司企业都有某种形式的软件来防止用户遭到侵害,有一定的意识培训和类似于策略或规程的东西,但这些工作往往没有形成联动,很零散和随意,并没有专门针对特定攻击或用户行为的工作。

为解决这一问题,需设置负责识别涉及人员的不同攻击方法和漏洞的职位,姑且称之为人力安全官(HSO)吧。HSO审查可能出现问题的地方,指出预防、检测和响应这些攻击或用户行为的最优方法。

有些人或许会以为这是CISO或意识培训项目经理的工作。现实是,意识培训人员的工作非常具体,专注提供信息以令员工改善其安全相关的行为。意识培训团队并没有义务,也无权负责阻止和缓解漏洞的方方面面工作。意识培训团队应向HSO报告。

HSO负责确定与人相关的漏洞存在的地方,专注协调漏洞缓解工作,也就是检查底层业务过程和确定能有效缓解漏洞的最佳技术运营过程组合。然后,HSO还确保意识培训团队将精力集中在解决员工应如何正确完成自己的工作上。

由CISO来负起HSO的职责固然不错,但具有一定规模的企业里,CISO应有一个团队可以分担责任。就好像CISO手下有不同的人各自负责网络安全、事件响应和监管,也应有HSO来专门负责处理涉及人员的所有漏洞。这一角色应与传统意识培训角色区分开来。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Head First Java(第二版·中文版)

Head First Java(第二版·中文版)

Kathy Sierra,Bert Bates 著、杨尊一 编译 张然等 改编 / 杨尊一 / 中国电力出版社 / 2007-2 / 79.00元

《Head First Java》是本完整的面向对象(object-oriented,OO)程序设计和Java的学习指导。此书是根据学习理论所设计的,让你可以从学习程序语言的基础开始一直到包括线程、网络与分布式程序等项目。最重要的,你会学会如何像个面向对象开发者一样去思考。 而且不只是读死书,你还会玩游戏、拼图、解谜题以及以意想不到的方式与Java交互。在这些活动中,你会写出一堆真正的Jav......一起来看看 《Head First Java(第二版·中文版)》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

html转js在线工具
html转js在线工具

html转js在线工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试