Proofpoint 的网络钓鱼年度报告最近显示,英国是迄今为止惩罚未通过网络安全测试的员工的罪魁祸首。事实上,42% 的雇主会对参与真实或模拟网络钓鱼攻击的员工处以罚款,29% 的雇主甚至会解雇员工。这些数字都远高于全球平均水平,仅为 26% 和 18%。
不出所料,该报告还强调攻击次数逐年增加。在英国,91% 的受访者表示他们曾面临网络钓鱼攻击,84% 的受访者表示至少看到过一次基于电子邮件的勒索软件攻击。
近年来,公司越来越多地向员工施加压力,要求他们保持强大的密码卫生,为每个帐户使用强大的唯一密码,以免成为网络钓鱼攻击的受害者。现实情况是,惩罚员工,无论是口头上还是经济上都是错误的,而且肯定不会保护您的业务。随着网络威胁的增加,企业领导者应该停止将自己的网络安全故障归咎于员工,并收回对自己网络数字密钥的控制权。
Proofpoint 报告中的数据反映了组织领导者的误解。公司犯的第一个错误是允许员工设置自己的个人密码,在不知不觉中将他们的访问控制权让给员工,同时为失败做好准备。在风险和责任的广泛转移以及数字足迹的扩大中,是网络流行病日益严重的根本原因。通过将自己的错误归咎于其他人,最高管理层成员拒绝面对自己的错误。
事实上,围绕密码的思考需要彻底改革。想象一个雇主允许每个员工创建自己的个人钥匙来访问公司大楼、电梯、楼层、门和数据室。当员工使用他们的个人密码访问网络和网络犯罪分子所针对的业务的关键部分时,就会发生这种情况。
在现实世界中,当员工开始一份新工作时,公司会交给他或她进入大楼不同部分所需的钥匙、钥匙和卡片。当员工离开时,公司会收回钥匙、密钥卡和卡片,确保员工不再有权访问公司资产。在他们为公司工作的整个过程中,管理层对谁可以访问什么负有全部责任和控制权。
通过要求员工创建自己的数字密钥以进入其数字网络的不同部分,公司让自己失去对数字基础设施的控制,从员工被赋予访问密钥的责任的那一刻起。
当员工没有责任管理自己对建筑物的访问时,应该由他们来管理自己对可能造成严重破坏的网络的访问似乎是荒谬的。
攻击的复杂程度和频率都在增加
网络钓鱼攻击比以往任何时候都更加复杂和难以发现。即使对于最有经验和网络意识最敏锐的用户来说,能够感知网络威胁也是一项挑战。您的员工不会都成为网络安全专家,也不应该期望他们成为。当前形势无端给员工带来了难以承受的压力和压力。
我们知道,超过 80% 的数据泄露都是从合法密码开始的,将责任放在员工而不是组织身上会适得其反,经济处罚也不能确保它不会再次发生。
与其强迫员工记住各种接入点的数十个复杂密码,不如调整您的技术以支持员工仅使用无法共享或网络钓鱼的强且唯一且加密的密码。这不仅意味着重新获得对接入点和网络安全的控制权,还意味着将您的员工从巨大的精神压力中解脱出来。密码不需要保留在人们的脑海中。
确保网络弹性
强、唯一和加密的密码可以由组织控制,并供员工使用,他们永远不必考虑、输入或记住它们。因人为错误而惩罚员工是不可持续的。使您的数字访问安全性反映您的物理访问安全性意味着员工不必为整个组织的安全性负责。
