组织若希望更有效地防御网络犯罪,仅仅依赖技术手段远远不够。昆士兰大学的一项研究表明,加强领导力建设和员工决策能力,是提升整体网络安全水平的关键投资方向。
昆士兰大学网络研究中心的伊瓦诺·邦乔万尼博士在最新研究中指出,技术本身无法单独解决网络安全问题。相关成果已发表在期刊《Computers & Security》(《计算机与安全》)上。
在一场问答访谈中,邦乔万尼博士详细阐述了为何企业领导者必须把网络安全视为全体共同承担的责任,而不是单纯的IT部门任务,从而更好地保护组织及其所托管的客户数据。
为什么看起来“防护完备”的组织仍会发生数据泄露?
网络安全从来不只是技术问题,它同时涉及技术、人和流程三方面的协同。
在网络安全领域有一句常被引用的话:防御者必须每一次都做对,而攻击者只要成功一次就够了。这种天然的不对称,使得完全杜绝数据泄露几乎不可能。
人为因素在网络安全失败中有多关键?
在制定和执行网络安全策略时,人为因素往往被低估,但实际上却是最复杂、最难管理的部分。组织中每个人对安全行为的理解和重视程度都不一样,这会直接影响整体防护效果。
研究团队访谈了不同层级和职能的人员——从一线安全运维员工,到高管和董事会成员。结果显示,网络安全相关决策受到多重因素影响,包括行业监管要求、组织文化、个人态度和日常行为等。
即便是在小型组织中,员工流动频繁、培训不足以及安全意识不统一,都会形成明显漏洞;而在大型机构中,这些问题会随着员工规模的扩大而被放大,管理难度成倍增加。
人工智能等新技术如何改变风险格局?
新技术往往在组织充分理解其风险之前就被快速引入和使用。人工智能工具功能强大、效率显著,但同时也带来了新的安全隐患。
员工可能以各种方式使用这些工具,却未必清楚其中潜在的安全风险,例如数据泄露、模型滥用或敏感信息外传等。这使得持续的安全教育和清晰的内部使用规范变得愈发重要。
技术发展是否一直快于决策者的适应速度?
从历史经验来看,技术演进的速度几乎总是领先于监管和治理框架的建立。这种“先发展、后规范”的局面长期存在。
不过,监管机构和组织本身正在变得更敏捷,对新技术的响应速度有所提升。但即便如此,“绝对安全”仍然是一个无法实现的目标。
网络风险管理本质上是一系列权衡:要在预算限制、组织文化、威胁态势以及地缘政治冲突等外部因素之间做出判断和取舍。
发生重大数据泄露时,消费者是否应该更宽容?
当消费者为服务付费并将个人信息交给某个组织时,很难要求他们在发生泄露时保持“理解”。
公众有充分理由期待自己的数据、资金和服务访问权得到妥善保护。同时,也必须承认,网络安全在现实中很难做到百分之百无风险。
与其说消费者需要更宽容,不如说社会整体需要更好地理解组织在管理网络风险时面临的复杂挑战和各种权衡。这种理解有助于形成更合理的期望和更有效的监管与治理。
是否存在“一刀切”的网络安全解决方案?
并不存在适用于所有组织的统一方案。网络安全监管和实践需要结合行业特点和风险水平进行差异化设计。
例如,银行等高度监管行业,因一旦发生泄露会造成严重后果,因此必须遵守更严格的网络安全要求。其他行业的监管可能相对宽松,但社会对所有行业的基本安全期望都在不断提高。
所有组织都应至少达到一定的“网络卫生”基础标准,并根据自身规模、风险暴露程度以及所处理数据的敏感性,逐步提升安全能力。网络安全成熟度的提升是一个持续过程,而不是一次性完成的项目。
企业领导层和董事会需要做出哪些改变?
网络安全应被视为全组织的共同责任和持续议题,而不是单纯的IT问题。
许多组织,尤其是中小企业,会将部分网络安全工作外包给第三方服务商。但即便如此,领导层仍需保持足够的可见性和监督权。
可以外包的是具体执行工作,而不是决策权和控制权。董事会和高管需要定期了解安全状况、参与风险评估,并在资源投入和战略方向上做出明确决策。
研究为企业提供了哪些实用参考?
这项研究并未给出单一的“最佳实践”模板,而是帮助组织厘清应重点关注的维度。
研究团队提出了四个关键层面,供企业在评估和改进网络安全时参考:
- 行业层面:相关法规要求、行业标准以及外部利益相关方的期望。
- 组织层面:自身的风险偏好、历史经验、治理结构和投资决策逻辑。
- 团队层面:网络安全职责是否清晰,包括对外包服务的管理与问责机制。
- 个人层面:内部推动者的作用、员工的安全动机、行为习惯和意识水平。
通过系统地审视这四个层面,组织可以更清楚地了解当前的网络安全状况,识别关键薄弱环节,并据此制定更有针对性的改进计划。
