為中小型企業提供網絡安全幫助

已發表: 2014-03-04

鍵盤隱私 2014 年才剛剛過去兩個月,我們就已經看到了大量與隱私和數據洩露管理相關的問題。 在我最近參加的一次在線信任聯盟 (OTA) 會議上,有人評論說“這不是你是否會受到數據洩露影響的問題,而是何時發生的問題。”

對於任何擁有電子商務模式的企業來說,這都是發人深省的評論,如今,基本上我們所有人都採用這種模式。 相對較小或匿名並不能保證網絡罪犯不會注意到您。 那麼,如果您是一家沒有雄厚財力或資源的小型組織,您應該從哪裡尋求幫助和指導呢?

小型企業網絡安全問題指南

加利福尼亞州為企業發布了一個很好的資源:“金州的網絡安全:加州企業如何防範和應對惡意軟件、數據洩露和其他網絡事件。” 本文檔中的信息適用於各地的所有企業,而不僅僅是加利福尼亞州,它為中小企業提供網絡安全幫助。 我強烈建議您閱讀它以熟悉其中的概念 – 以及所有可能對您的品牌、聲譽和開展合法在線商務的能力產生不利影響的威脅問題。 從隱私洩露中恢復可能既困難又昂貴; 預防是最好的方法。 正如研究指出的:

“根據 Ponemon Institute 進行的 2014 年網絡犯罪成本研究,……在過去四年中,遭受基於 Internet 攻擊的企業的成本平均每年增長 78%。”

10 個網絡安全真相

以下是報告執行摘要的編輯版本:

對網絡安全準備的相對較小的投資可以顯著降低風險。 該指南包含有關如何準備有效的網絡安全事件響應計劃的進一步建議,但主要問題如下:

假設你是目標1.假設你是目標

任何公司,無論大小,都可能成為網絡犯罪的受害者。 正如我們大多數人離開家時鎖上前門已成為第二天性一樣,假設您是潛在目標並採取基本預防措施來保護您自己和您的公司。

2. 以身作則

網絡安全不是 IT 的專屬領域; 執行管理層必須參與其中。 小型企業主最了解他們公司的網絡和連接到它的所有設備。 這需要投入必要的時間和資源來確保其信息資產的安全。

3.映射你的數據

為了有效地保護您的數據,該報告建議您首先需要知道您擁有的數據類型以及這些數據的位置。 全面審查您存儲在 IT 系統中的數據,包括現場和非現場,以及與第三方(包括數據映射項目中的備份存儲和雲計算解決方案)。 一旦您知道了您擁有的數據及其位置,請仔細查看並刪除您並不真正需要的數據。

4. 加密你的數據

加密您需要保留的數據。 簡而言之,加密數據——無論是電子郵件、照片、備忘錄還是任何其他類型的電子存儲信息——都會對其進行編碼,這樣沒有加密密鑰的人就無法讀取它。 強大的加密技術現在普遍免費提供,而且使用方便。 加密數據的最大優勢在於,它使數據更不容易受到黑客攻擊。 請注意,處理工資單或銷售點 (POS) 功能等敏感信息的機器最好位於與涉及日常服務(如更新 Facebook 和檢查電子郵件)的機器分開的網絡或系統上。

5. 銀行安全

加州報告包括針對網上銀行的具體、可操作的建議,包括:

  • 把安全放在第一位。 僅使用安全的瀏覽器連接(由“https”和/或地址欄或網絡瀏覽器窗口右下角可見的鎖表示)執行網上銀行業務。 網上銀行會話應在您的網絡瀏覽器的私人模式下進行,您應該在之後擦除您的網絡瀏覽器緩存、臨時互聯網文件、cookie 和歷史記錄,這樣如果您的系統受到威脅,網絡犯罪分子將無法訪問信息。
  • 利用您的金融機構提供的安全選項。 示例包括使用雙因素身份驗證訪問您的帳戶,要求兩名授權人員在每次資金轉移時簽字,以及在您的帳戶發生某些高風險活動時通過電子郵件或短信設置帳戶通知。
  • 設置電匯限制。 狡猾的跨國犯罪組織現在經常入侵企業的計算機,並在無法恢復的情況下將大量資金轉移到海外。 為防止這種情況發生,請限制可以從您的帳戶電彙的金額,並且(根據您的業務需要)考慮要求您的銀行在向海外電匯之前要求兩個執行團隊的簽名。

6. 保護自己

在選擇安全解決方案時,要防範任何特定技術或保護方法中的單點故障。 這應該包括部署定期更新的防火牆、防病毒軟件和其他涵蓋所有數字設備(從台式電腦到智能手機再到平板電腦)的互聯網安全解決方案。

連接到您網絡的設備應該受到多層防禦技術的保護,包括但不限於防病毒技術。 尋找全面的安全解決方案,從多個角度處理安全問題,以便您能夠管理可能遇到的各種威脅的風險。 有用的功能包括遠程定位或擦除丟失設備的能力,以及使用分析行為和/或使用虛擬化工具的技術識別和阻止前所未見的攻擊的能力。

7. 教育員工

提高員工對網絡威脅風險、風險緩解機制以及企業知識產權和數據價值的認識。 您的員工是第一道防線,良好的安全培訓和程序可以降低意外數據丟失和其他內部風險的風險。

8.密碼明智

更改計算機、打印機、路由器、智能手機或其他設備的任何默認用戶名或密碼。 任何東西都比默認的好。 具體來說,您應該使用強密碼並且不要讓您的互聯網瀏覽器記住您的密碼。

9. 安全操作

通過使用分層安全防禦並使所有操作系統和軟件保持最新狀態,確保您的系統安全。 不要安裝您沒有專門尋找的軟件,也不要從不受信任或未知來源下載軟件。 請記住刪除或卸載您不再使用的軟件。

10.做最壞的打算

該報告指出,每個小企業都應該制定災難恢復計劃,以便在發生網絡事件時,您的資源能夠得到明智和高效的使用。 選擇一個事件響應團隊並指派一名領導者。 確保該團隊包括一名執行管理層成員。 定義角色和職責,以便每個人都清楚誰應該對發生的事件負責。 與您公司的每個人溝通,如果他們懷疑網絡事件已經發生(或正在發生),他們應該聯繫誰。 為您的事件響應團隊收集和分發下班後的聯繫信息。 接下來,通過建立清單和明確的行動項目來概述事件響應計劃的基本步驟。

加利福尼亞州的報告涉及社會工程詐騙、網絡漏洞、物理漏洞和移動漏洞,並包含有關安全操作和事件響應的更多詳細信息。 值得你花時間; 我們只會看到更多影響我們數字市場合法業務的問題。 因此,拿起舒適的椅子和一杯熱咖啡,研究這本有用、有價值、可讀的中小企業網絡安全指南。

Act-On 致力於保護您的隱私和數據。 在此處查看我們的積極努力和行業認證

上圖:g4114is 的“隱私”。 根據 Creative Commons 2.0 許可,經許可使用。