为中小型企业提供网络安全帮助

已发表: 2014-03-04

键盘隐私 2014 年才刚刚过去两个月,我们就已经看到了大量与隐私和数据泄露管理相关的问题。 在我最近参加的一次在线信任联盟 (OTA) 会议上,有人评论说“这不是你是否会受到数据泄露影响的问题,而是何时发生的问题。”

对于任何拥有电子商务模式的企业来说,这都是发人深省的评论,如今,基本上我们所有人都采用这种模式。 相对较小或匿名并不能保证网络罪犯不会注意到您。 那么,如果您是一家没有雄厚财力或资源的小型组织,您应该从哪里寻求帮助和指导呢?

小型企业网络安全问题指南

加利福尼亚州为企业发布了一个很好的资源:“金州的网络安全:加州企业如何防范和应对恶意软件、数据泄露和其他网络事件。” 本文档中的信息适用于各地的所有企业,而不仅仅是加利福尼亚州,它为中小企业提供网络安全帮助。 我强烈建议您阅读它以熟悉其中的概念 – 以及所有可能对您的品牌、声誉和开展合法在线商务的能力产生不利影响的威胁问题。 从隐私泄露中恢复可能既困难又昂贵; 预防是最好的方法。 正如研究指出的:

“根据 Ponemon Institute 进行的 2014 年网络犯罪成本研究,……在过去四年中,遭受基于 Internet 攻击的企业的成本平均每年增长 78%。”

10 个网络安全真相

以下是报告执行摘要的编辑版本:

对网络安全准备的相对较小的投资可以显着降低风险。 该指南包含有关如何准备有效的网络安全事件响应计划的进一步建议,但主要问题如下:

假设你是目标1.假设你是目标

任何公司,无论大小,都可能成为网络犯罪的受害者。 正如我们大多数人离开家时锁上前门已成为第二天性一样,假设您是潜在目标并采取基本预防措施来保护您自己和您的公司。

2. 以身作则

网络安全不是 IT 的专属领域; 执行管理层必须参与其中。 小型企业主最了解他们公司的网络和连接到它的所有设备。 这需要投入必要的时间和资源来确保其信息资产的安全。

3.映射你的数据

为了有效地保护您的数据,该报告建议您首先需要知道您拥有的数据类型以及这些数据的位置。 全面审查您存储在 IT 系统中的数据,包括现场和非现场,以及与第三方(包括数据映射项目中的备份存储和云计算解决方案)。 一旦您知道了您拥有的数据及其位置,请仔细查看并删除您并不真正需要的数据。

4. 加密你的数据

加密您需要保留的数据。 简而言之,加密数据——无论是电子邮件、照片、备忘录还是任何其他类型的电子存储信息——都会对其进行编码,这样没有加密密钥的人就无法读取它。 强大的加密技术现在普遍免费提供,而且使用方便。 加密数据的最大优势在于,它使数据更不容易受到黑客攻击。 请注意,处理工资单或销售点 (POS) 功能等敏感信息的机器最好位于与涉及日常服务(如更新 Facebook 和检查电子邮件)的机器分开的网络或系统上。

5. 银行安全

加州报告包括针对网上银行的具体、可操作的建议,包括:

  • 把安全放在第一位。 仅使用安全的浏览器连接(由“https”和/或地址栏或网络浏览器窗口右下角可见的锁表示)执行网上银行业务。 网上银行会话应在您的网络浏览器的私人模式下进行,您应该在之后擦除您的网络浏览器缓存、临时互联网文件、cookie 和历史记录,这样如果您的系统受到威胁,网络犯罪分子将无法访问信息。
  • 利用您的金融机构提供的安全选项。 示例包括使用双因素身份验证访问您的帐户,要求两名授权人员在每次资金转移时签字,以及在您的帐户发生某些高风险活动时通过电子邮件或短信设置帐户通知。
  • 设置电汇限制。 狡猾的跨国犯罪组织现在经常入侵企业的计算机,并在无法恢复的情况下将大量资金转移到海外。 为防止这种情况发生,请限制可以从您的帐户电汇的金额,并且(根据您的业务需要)考虑要求您的银行在向海外电汇之前要求两个执行团队的签名。

6. 保护自己

在选择安全解决方案时,要防范任何特定技术或保护方法中的单点故障。 这应该包括部署定期更新的防火墙、防病毒软件和其他涵盖所有数字设备(从台式电脑到智能手机再到平板电脑)的互联网安全解决方案。

连接到您网络的设备应该受到多层防御技术的保护,包括但不限于防病毒技术。 寻找全面的安全解决方案,从多个角度处理安全问题,以便您能够管理可能遇到的各种威胁的风险。 有用的功能包括远程定位或擦除丢失设备的能力,以及使用分析行为和/或使用虚拟化工具的技术识别和阻止前所未见的攻击的能力。

7. 教育员工

提高员工对网络威胁风险、风险缓解机制以及企业知识产权和数据价值的认识。 您的员工是第一道防线,良好的安全培训和程序可以降低意外数据丢失和其他内部风险的风险。

8.密码明智

更改计算机、打印机、路由器、智能手机或其他设备的任何默认用户名或密码。 任何东西都比默认的好。 具体来说,您应该使用强密码并且不要让您的互联网浏览器记住您的密码。

9. 安全操作

通过使用分层安全防御并使所有操作系统和软件保持最新状态,确保您的系统安全。 不要安装您没有专门寻找的软件,也不要从不受信任或未知来源下载软件。 请记住删除或卸载您不再使用的软件。

10.做最坏的打算

该报告指出,每个小企业都应该制定灾难恢复计划,以便在发生网络事件时,您的资源能够得到明智和高效的使用。 选择一个事件响应团队并指派一名领导者。 确保该团队包括一名执行管理层成员。 定义角色和职责,以便每个人都清楚谁应该对发生的事件负责。 与您公司的每个人沟通,如果他们怀疑网络事件已经发生(或正在发生),他们应该联系谁。 为您的事件响应团队收集和分发下班后的联系信息。 接下来,通过建立清单和明确的行动项目来概述事件响应计划的基本步骤。

加利福尼亚州的报告涉及社会工程诈骗、网络漏洞、物理漏洞和移动漏洞,并包含有关安全操作和事件响应的更多详细信息。 值得你花时间; 我们只会看到更多影响我们数字市场合法业务的问题。 因此,拿起舒适的椅子和一杯热咖啡,研究这本有用、有价值、可读的中小企业网络安全指南。

Act-On 致力于保护您的隐私和数据。 在此处查看我们的积极努力和行业认证

上图:g4114is 的“隐私”。 根据 Creative Commons 2.0 许可,经许可使用。