作为 Salesforce 的信息安全总监,我大部分时间都在 Salesforce 信息安全部门的安全与合规客户成功 (SCCS) 团队中从事安全倡导工作。除了向客户介绍 Salesforce 的安全创新之外,我产品和工程团队进行宣传,从而构建了一个重要的反馈循环。
信息安全是一个旅程,Salesforce 深知从客户的安全需求和创新中学习,从而持续改进的重要性。我的团队就像一个管道,负责将这些想法传达给 Salesforce 内部合适的工程团队,以及 Salesforce 领导层和高管,以便他们了解情况。我们代表客户向 Salesforce 领导层和产品团队提倡持续提升安全性。我们还开发了工具来跟踪和管理客户提出的任何安全问题,以便即使是最高层的领导也能了解情况。成为客户需求的关键代言人,是我们纵深防御安全方法的一部分。这种方法将技术、流程和人员层层叠加,力求防止任何单点故障。
了解安全基础知识
成为安全倡导者
如果你看到什么,就说出来
在我们安全策略的“人员”部分,每一位 Salesforce 员工都扮演着至关重要的角色。我们不想让员工变 手机号数据库列表 得偏执。然而,我们努力培训他们识别可能预示着更严重问题开始的可疑活动。网络钓鱼邮件就是一个很好的例子。据专家称,75%到91% 的攻击始于恶意邮件。如今,这些试图诱骗人们点击恶意链接或泄露安全信息的社会工程手段也扩展到了短信、二维码、社交媒体以及令人恐惧的自动拨号电话。
“骗子”或“骗局”中的“con”一词源于“confidence”(信心)。骗子通常依赖于运用心理学手段来赢得“目标”或受害者的信任。骗子可能会利用受害者想要帮助的欲望,或者受害者的自尊心。谁会不愿意在午餐时间,为一个正忙着吃两打披萨的人开着一扇通常锁着的门呢?
同样,攻击者可能会伪装成受害者所在行业的新手,并尝试通过社交媒体与受害者建立联系(建立联系请求会在我们的大脑中产生多巴胺,让我们感觉良好)。然后,攻击者可能会问一些“无知”的问题,旨在更深入地了解受害者公司现有的工具和流程。