让最终用户安全地思考

       网络教育提供商Cybrary安全专家Anthony Harris表示：“企业已经投资了先进的安全软件，拥有很杰出的IT人才，但也要考虑最终用户。营销人员、销售人员、管理人员等最终用户通常完全没有准 备好应对络钓鱼诈骗、社会工程诈骗，他们往往是造成数据泄漏事故的主要原因。”

        安全解决方案提供商Clearswift公司产品高级副总裁Guy Bunker表示，用户是企业最薄弱的环节，但也可能成为企业最大的资产。

        Bunker表示：“对于安全来说，用户既是最大的财富，也是最薄弱的环节。用户‘知道’流程方面正在发生什么，以及可以遵守或可以忽略的规则，他们是评估安全措施有效性的‘晴雨表’。”

        Bunker称：“对于不安全的流程，或者没有预期安全的流程，尤其是如此。用户必须接受安全教育。例如，他们必须明白很多类型的恶意软件安装在应用程序 中，需要进一步的操作才能实现攻击。例如，当他们点击一个链接，然后系统要求安装某种软件，这很可能是恶意软件，所以他们需要将此事报告给IT，或者遵循 明确定义的流程。”

        教育是关键

        加强安全措施的最有效方法之一是让最终用户知道他们在企业安全最佳实践中的角色。Cybrary公司的Harris目前正在开发一套课程来教导最终用户如何识别最常见的威胁、在BODY设备中使用高强度密码，以及如何预防常见的安全泄漏事故。

        Harris称：“我们主要专注于教育用户如何应对日常持续性威胁，我们希望最终用户知道网络钓鱼电子邮件是什么样子，以及他们可以如何检查出这些社会工 程策略的合法性。最终用户应该积极参与企业的安全策略，而不是在他们不明白这些最佳做法背后的原因时盲目听从命令。”

        安全沟通

        有效的安全教育应该是双向的。企业需要进行定期的沟通。以及信息共享，特别是围绕有针对性攻击的信息共享。围绕安全的这些沟通不必是大型的会议，安全对话应该是日常业务的一部分，而帮助最终用户了解安全是每个人都应该关心的。

         “企业可以定期发送邮件、公告或简报，或者提供更为正式的计算机或教师指导的教育和培训。你还可以提出个人化，以及使用他们家庭生活的建议。”Bunker称：“把媒体上刊登的报告（特别是成功的网络钓鱼攻击等）作为实例，来帮助员工识别潜在的攻击。”

        可靠的战略

        安全解决方案提供商Blue Fountain Media公司Mike Ricotta称，教育和培训还需要辅以强大的战略和流程来应对威胁。

        “适当的安全战略是很好的开端，但执行和维护最佳做法始终是运营人员的职责。”Ricotta表示：“通常情况下，企业的漏洞不需要大量人才来维护，有时 候只需要确保更新了最新的软件和补丁。由于社会工程仍然是入侵的主要方式，企业可以通过内部流程、程序和权限来限制‘人为错误因素’。”

        技术是最后一道防线

        当然，世界上所有的教育不都是万无一失的解决方案，总是可能出现这样的情况：最终用户点击他们不应该点击的链接，或者安装恶意软件或激活病毒。企业应该部署一个计划来快捷报告、发现和消除这种问题，以确保数据和信息的安全性。

        Bunker说道：“确保企业的最终用户知道在数据泄漏事故发生时打电话给谁，以及如何报告数据泄漏事故。因为即使企业尽了最大努力，这种事故还是会发生。这个过程不一定很复杂，应该类似于消防演习，人们知道怎么做。”

        最后，教育还需要结合技术，用户可能是第一道防线，而技术则是最后一道防线。企业应该部署高级防病毒、反垃圾邮件和自适应数据丢失防护解决方案防止所有渠道的重要信息丢失。

         Bunker表示：“教育、流程和技术相结合的解决方案可以帮助企业最大限度的减少信息安全风险。凡是预则立。”