如何有效应对内部威胁

文章重点

• 74% 的组织面临著内部威胁的中度风险。
• CISO 需要在不引起同事怀疑的情况下重视内部威胁，保护组织及员工。
• 建立与团队的开放对话，重新塑造内部威胁的看法，是防范的关键。

内部威胁已成为许多高管的一大担忧。根据2023年的内部威胁报告，74%的组织对内部威胁存在中等程度的脆弱性。这一状况不仅仅在寻求首席资讯安全官（CISO）的公司中被提及，甚至连现任的CISO也都表达了担忧。

然而，由于内部威胁的问题可能会对同事间的关系造成紧张，因此这些威胁往往未被积极承认。对内部威胁的担心似乎暗示著企业对同事的行为缺乏信任。但是，值得注意的是，内部威胁对所有组织而言都是一种真实的危险。

因此，CISO不仅要保护公司的产品，还需保护员工免受恶意行为者的侵害。通过认可并有效应对内部威胁，CISO可以展现对同事的关心，保障他们及其账户不被利用，而非只是对他们的行为心存怀疑。

CISO在应对外部坏人入侵员工账号时所遵循的协议，与预防员工自身故意行为的措施几乎相同。主要区别在于，CISO能够通过现有措施及确保员工意识到这些保护措施的目的在于保护自己，而不是因为公司对他们缺乏信任来预防内部威胁。

这里是我针对如何同时 empathetically 及可行地面对内部威胁并促进团队间思考性对话的建议：

从一开始就减少内部威胁

作为CISO，我自然会对恶意软件或账号劫持的风险保持敏感，但如果恶意行为者控制了员工的访问权限，后果总是令人不安的。这不仅仅是业务资产被获得的问题，它可能对我们的客户或同事造成长期的伤害。这也是为什么我们要设立防护措施来防止这种情况发生。例如，使用抵抗钓鱼的双因素认证（如YubiKeys或其他安全密钥），并确保员工的笔记本电脑和其他软件保持最新以避免恶意软件的入侵。我们还实施其他预防措施，例如移除内部人员不必要的访问权限，甚至进行精细的权限重新设计。

帮助同事识别内部威胁

CISO的角色不仅仅是保护资产，还包括关心组织中的人。这并不仅仅意味著保护潜在受害者。我的工作是帮助同事做出更好的选择，防止他们日后后悔的决定。即便他们即将离开公司，这也是能让我在最后时刻照顾他们的方式。

因此，对同事进行关于内部威胁潜在危险及如何自我保护的教育至关重要。在理想情况下，我们的同事不会面临任何伤害，但他们可能会遇到与恶意行为者的危险交锋。在这种情况下，他们应该感到有能力且了解应采取的行动来应对局面。这通常难以接受，但真正的坏人有时会是内部员工。

是的，政府的确会在不少公司内部安插人员。随著安全行业和私营部