如何针对人为因素进行查核以及如何估量组织的安全风险-ISACA.PDFVIP

如何針對人為因素進行查核以及如何估 量組織的安全風險 How to Audit the Human Element and Assess Your Organization’s Security Risk 作者 : Tom Pendergast, Ph.D. 那些重大資料洩漏，有29%的人認為 2016 年的資料外洩調查報告(Data Is the chief architect of CEO應該負責，另外有 38%的上班 MediaPro’s Adaptive Awareness Breach Investigation Report, DBIR)中， 2 Framework, a vision of how to 族認為董事會應該負責 。 analyze, plan, train and reinforce Verizon 公司的第九年度之年報說明了 to build a comprehensive 一些可怕的訊息－一種傳播媒介，來 而與員工和這些上班族不同是， awareness program, with the goal of building a risk -aware culture. 自人為因素所構成之威脅，變得比以 董事會和管理階層正在尋找那些在 IT He is the author or editor of 26 books and reference collections. 往更加的危險。而在最新的資料外洩 或資訊安全的相關人員，並且詢問他 Pendergast has devoted his entire 調查報告中，又再一次強調了一項事 們正做些什麼來減緩這些由「人為因 career to content and curriculum design, first in print as the 實，即員工在許多資料外洩的案例中 素」(Human Element)所產生的風 founder of Full Circle Editorial, then in learning solutions with 持續扮演著重要角色。在那些已確認 險。無論這些對現行措施和實行狀況 MediaPro. 的資料外洩案例中，約莫有 63％的案 的「審視」 (Examination)是否能稱為 例與密碼的脆弱、密碼的預設值以及 審計或其他名詞，這些審視行為的推 譯者 :黃劭彥 國立中正大學會, 密碼盜用有關。而更糟糕部分，是那 行都是為了更加嚴密的會計組織工 計與資訊科技學系教授 電腦稽, 些各式各樣繁雜的錯誤－即員工將資 作，進而解決這項最令人擔憂的安全 核協會編譯出版委員會委員 訊發送給不正確的資訊收受者，在那 風險－員工。董事會和管理階層想要 些資料外洩案例中，這類錯誤幾乎占 知道有哪些「審視」的行動正被執行 1 了將近18%左右 。儘管有著許多的 著來解決前述的問題以及是否這些行 預防性措施，但在資料外洩與安全事 動能達到他們想要的結果。他們希望 件中，來自員工所造成的錯誤與相關 看到的是有一個真正的認知程序，而 的威脅仍佔有相當的比例，而且這類 這個程序都已準備妥當，也就是一個 的錯誤與威脅正以驚人的速度增長 針對員工知識和行為有意義的變化所 著。 建立程序。