企業如何降低人為疏失?創建資訊安全系統是關鍵!

計算人為錯誤的機率

我相信大家都同意「人都會犯錯」。當然,如果一個人面對一件新的事物,失敗的機率會更高。另一方面,即使是長期持續在做的任務,由於身體或精神狀況等因素,這個人也會犯錯。

假設有一個人在任務中犯錯的機率為 0.1%。如果一年有 250 個工作日,並且假設這個人每天都在做同一個任務。那麼,我們可以說這個人每 4 年會有一次犯錯的機會。我認為這個機率相當低。

接下來,假設有 100 個人都有 0.1% 的犯錯機率,而為了計算這 100 個人中是否有人會犯錯,我們需要計算沒有人犯錯的機率。一個人不犯錯的機率為 99.9%。由於有 100 個人,我們需要計算 99.9% 的 100 次方,約為 90.5%。因此,這 100 個人中有人犯錯的機率將成為 9.5%。這意味著每 23.8天 就有一個人在 100 個人中犯錯。換句話說,幾乎每個月都有人會犯錯。現在,這個機率看起來非常高。

我們需要記住,即使一個人犯錯的機率很低,如果有更多的人參與其中,這個機率也會變高。

資訊安全就是要最小化人為錯誤

現今,企業總是面臨各式各樣的資訊安全威脅,例如惡意軟體攻擊、釣魚攻擊、密碼攻擊、SQL 注入攻擊等等。如果我們仔細觀察這些威脅,就會發現大多數攻擊都在尋找由人類設定的系統配置錯誤或挑戰人類犯錯的機會。

因此,資訊安全的關鍵是建立一個系統,以最小化人犯錯的機率。

避免人為錯誤的第一步

為了避免人為錯誤,首先我們需要制定避免錯誤的方法。建立手冊或標準作業程序可以最大程度地減少出錯的機會,特別是對於不熟悉該任務的人來說。此外,製作檢查清單可以幫助避免錯誤。此外,讓其他人進行雙重檢查也有助於避免錯誤。

因此,避免錯誤的第一步是找到一個可以最小化錯誤的系統,而探究錯誤發生的原因可以幫助人們找到最好的方法來減少錯誤率。

將 IT 應用到系統中

現今,有許多關於資料外洩的事件都是由於釣魚攻擊所導致的。由於我們幾乎每天都要登入系統,所以大幅增加了出錯機會。首先,可以對所有員工進行釣魚攻擊的訓練。如果員工能夠更敏銳地識別釣魚網站,那麼員工將 ID 和密碼輸入到釣魚網站的機會就會減少。

然而,即使員工知道什麼是釣魚網站,還是有可能出現錯誤。為了減少出錯率,可以讓其他人進行雙重檢查。但是由於員工可能經常需要登入系統,若每一次都需要再次確認的話,這種解決方案的成本實在太高了。

我們可以看到,僅靠人類的努力是有局限性的。此外,我們也需要記住,人類總是有犯錯的機會。為了更進一步,我們需要利用 IT 的力量。IT 的好處是它不會犯任何錯誤。但是,IT 不夠靈活,所以需要有人先設計整個系統,然後再將 IT 應用到其中的某些部分。一旦系統的設計是安全的,IT 就可以最大程度地發揮功能。

回到上面的例子。釣魚攻擊最大的人為錯誤是員工在釣魚網站上輸入 ID 和密碼,而駭客就能使用該 ID 和密碼登入系統。因此,最好的方法是找到一種除了 ID 和密碼以外的認證方式。MFA 是一種使用行動裝置進行認證的技術,可以用來當作除了 ID 和密碼以外的額外認證方式。此外,透過使用者擁有的裝置進行認證則是另一種驗證方式。

人類可以想出新點子並盡力實現使社會變得更好,同時,人類並不完美而且有時會犯錯。資訊安全威脅是駭客利用這些人為錯誤來獲取利益,而資訊安全的關鍵是創建一個系統以避免人為錯誤。此外,利用 IT 技術也可以有效幫助人們避免這些錯誤。最後,HENNGE 是一家提供 IT 安全解決方案以最小化資安威脅的公司,致力於為企業打造全面的資安防護服務。

歡迎進一步了解 HENNGE One!讓我們為您帶來優質的雲端資安服務!

WRITTEN BY