首页 > 信息安全 > 正文

面对网络风险 企业应当如何部署安全策略?

2019-08-07 14:15:59  来源:IT168网站

摘要:有关数据泄露和漏洞的突发层出不穷,这些数据泄露和漏洞对企业的财务和声誉有着非常大的影响。企业高管似乎无法摆脱预警头条的抨击,以及由专家组成的轰炸,这些专家就如何避免这些网络安全攻击提出了一些建议。
关键词: 网络安全
  有关数据泄露和漏洞的突发层出不穷,这些数据泄露和漏洞对企业的财务和声誉有着非常大的影响。企业高管似乎无法摆脱预警头条的抨击,以及由专家组成的轰炸,这些专家就如何避免这些网络安全攻击提出了一些建议。
\
 
  尽管如此,网络安全攻击仍在继续。最为糟糕的是,网络犯罪分子经常针对最明显或最基本的载体和漏洞。仅是2019年7月,就有很多这样的事例:比如数百万条记录在亚马逊数据库中被泄露,还有来自学区的用户和员工记录被软件漏洞暴露,再比如足球迷的财务信息被不法分子窃取等。
 
  建立和管理强有力的安全战略是至关重要的。企业必须知道风险在哪里并解决一切可行性问题,此外还需要不断的监测变化。
 
  制定成功的网络安全战略的第一个阶段是确保整个组织的全面参与,这不仅是一种共识,也是一种意识。建立或更新安全策略将对业务和技术方面产生一定影响。网络安全需要被整个企业所理解,以便将其视为公司的业务推动者和竞争优势,而不是阻碍因素。将关键决策者排除在外,可能会减缓采纳速度。
 
  策略一:
 
  考虑使用外部资源来支持设计安全策略。没有必要将整个项目外包,因为这可能引起内部的不满。但是,安全顾问的技能和知识能够提供关键的专业知识和经验,因为他们熟悉一系列组织安全需求和挑战,可以帮助加速项目并确保不忽视组织特定的考虑因素。
 
  一旦达成协议,似乎是开始项目的合适时机,但是一定要等待。定义组织安全策略的下一步实际上是退后一步,与区域领导坐下来了解他们每天的工作,包括使用哪些系统,存储数据的位置以及第三方和供应链与企业交互。
 
  理想情况下,需要完成完整的软件审计。至少,企业需要了解正在使用的内容,使用者以及更新的频率。这需要时间,而且不是一件小事。但请记住,许多漏洞都会由于基本的安全性失误而发生,所以这个阶段非常值得投资,以确保为组织设计正确的安全策略。
 
  策略二:
 
  值得记住的是,虽然IT有一个正在使用的软件列表,但它并不详尽。部门在IT职权范围之外购买和管理软件是很常见的。这些工具被称为影子IT,在正常业务的监视下运行。为了实现成功的安全策略,必须标识、审计这些项目并将其纳入内部IT团队的职权范围。
 
  在每个人都了解项目影响并且很清楚需要保护、更新或退役哪些内容的时候,项目就可以开始了。业务和流程的发生方式会发生变化,这意味着一些员工可能会进行抱怨,IT团队可能会接到越来越多支持部门的呼叫。尽管存在暂时的不便,但安全策略管理应该成为一个定期和持续的过程,一旦完成,就会对软件、设备和风险进行定期审计。没有这个持续的组成部分,所有的努力工作都将失去价值。此外,如果发生违规行为,理解和纠正事件所需的工作量将大幅增加。
 
  策略三:
 
  考虑将持续的用户教育作为安全策略的一部分。许多安全策略在很大程度上都取决于员工,因此有必要创建一个安全培训计划来教育用户使用强密码,如何识别虚假网站以及及早发现网络钓鱼/鱼叉式网络钓鱼电子邮件的信息。
 
  创建和维护一个成功的安全策略不是一项简单的任务,但是有了正确的支持和外部资源,则不一定是负面的体验。事实上,有了更安全的数据访问和更好的教育用户,最终结果将会使业务更加强大,能够在当今的数字和基于云的世界中取得成功。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:yangjl

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。