首页 > 信息安全 > 正文

小企业不可忽视的十大安全风险

2014-08-06 15:22:57  来源:机房360

摘要:就当前网络攻击的性质对企业员工进行培训。中小型企业往往认为网络罪犯将会将目标瞄准那些真正的大企业,而不是他们,但这根本不是真的。
关键词: 安全风险 网络攻击

    一般认为,员工数量在500名以内的小企业构成了美国公司构成的绝大多数,他们成为了美国经济的一个重要组成部分。而他们的客户自然希望个人和财务信息是保密的,而数据被破坏对于小企业而言无疑是一个痛苦且成本昂贵的考验。像大企业一样,小企业接受付款卡也必须遵循支付卡行业规则。而这对于某些甚至可能连IT部门都没有的小企业来说,如何解决网络安全问题可谓是一项相当艰巨的任务。


    如下将介绍十大贴士,可以帮助小企业开始维护他们的IT安全:


    1、企业管理者需要掌握最重要的数据都在何处的基本信息,无论其是在传统的台式机和服务器站点,或云服务和移动设备上(某些企业可能有BYOD政策)。无论这些信息是由企业内部的IT经理或是由外部技术供应商所提供的,相关的数据存储,访问权限和数据处理应形成规范的文档,包括任何相关的安全控制措施。这需要企业的业务人员和技术管理人员一起有意识做出决定,最好同时遵循相关法律规定。毕竟,这些安全控制会充分涉及到相对的风险。这样,也就为企业的备份和灾难恢复计划奠定了基础。


    2、未雨绸缪的为糟糕状况的发生做好规划。水灾,火灾,地震,外贼和内部威胁,当然,还包括恶意软件均是可能影响企业存储数据安全性的各种因素。自动备份过程。因此,企业管理者有必要询问其员工如果物理站点突然无法使用会如何应对的问题。企业有必要对可能出现的混乱状况做好规划,这种混乱状况就算不是几个月也至少可能持续几周,企业还必须对其规划进行测试,以确保其是切实可行的。


    3、就当前网络攻击的性质对企业员工进行培训。中小型企业往往认为网络罪犯将会将目标瞄准那些真正的大企业,而不是他们,但这根本不是真的。网络犯罪分子尤其喜欢将目标对准中小型企业,通过网上银行和支付渠道实施诈骗,掏空了企业账户。遗憾的是,实际上,相关法律对于企业银行账户资金被盗的保护甚至比普通消费者还少。银行甚至可能在小企业的困难时期,质疑其存在安全性问题。网络犯罪通常都是如何开始其犯罪行为的呢?在许多情况下,是由于受害人打开了带有恶意软件附件的电子邮件,而这种“网络钓鱼”电子邮件可以让攻击者渗透到网络中。为了解决这一问题,企业可以采用垃圾邮件过滤器来尝试捕捉钓鱼电子邮件和其他垃圾邮件。但是其中仍然有一些邮件,特别是针对性很强的邮件无法被过滤。这就需要通过对员工进行培训,不要打开任何看来不寻常的邮件。由于网络恶意软件也很普遍,在员工使用的互联网上进行网络控制也是一个好主意。大公司也已经开始使用先进的恶意软件防护系统,可以以各种方式追踪有针对性的攻击,而小企业也应该这么做(如果他们负担得起的话)。还有一个考虑设立一个专门的计算资源严格用于在线转账的有力的论据:有很多基于手机的社交诈骗,现在也非常值得员工们引起警惕。


    4、部署基础安全。这意味着企业需要部署防火墙,无线和有线访问接入点,并在终端和服务器上安装反恶意软件。毕竟,传统的基于签名的防病毒仅仅是一种有限的防御形式。考虑采用如“白名单”等技术,以禁止电脑软件下载。多年来,安全供应商们也坦率地承认他们往往很难针对中小企业建立起市场营销,销售和支持渠道,并已经试图创建面向用户数量少,技术含量低的基本产品版本来瞄准中小企业市场。但仍有些做法是至关重要的:必须尽可能快地严格修补所有操作系统和应用程序的漏洞。如果你企业在安全专业方面的人手不足,您可以通过一套安全管理服务安排寻求外界的技术支持。例如,如果发生恶意软件爆发事故,你企业将需要专业的安全维护人员。管理者需要多读一些这方面的文章,参加一些技术用户小组,与业内同仁探讨如何获得外部援助。


    记住,如果你的企业接受支付卡,那么,企业必须强制性的坚持PCI指南规定的数据隐私的要求,其中还包括加密敏感信息。在医疗保健行业,也需要遵守政府的HIPAA和高科技安全规则来对个人识别信息加密。在数据闲置和传输过程中进行加密是一个好主意。


    5、当处理旧电脑和其他需要报废的设备时,务必删除硬盘的存储数据,并摧毁他们。这也适用于其他类型的媒介。别忘了保护敏感信息和文件。


    6、当涉及到每个个体访问数据时,务必记录详细信息。这可能需要花费一些时间,但确定哪些员工或外部的商业伙伴真的需要使用网络方面的应用程序,并确定他们做了哪些工作。保持这个记录,并考虑使用包括密码之外的保护措施,也许可以采用双因素身份验证,甚至生物识别技术。这也需要系统管理员来负责,他们的工作特性赋予了他们掌握所有使用中的信息系统的权力。安全验证选项包括要求双认证过程--这是美国国家安全局在发生爱德华·斯诺登泄密事件之后声称更有力的措施。您的企业的数据信息可能不是绝密的美国国家安全局的,但你的内部网络,所有最关键的数据可能是一个系统管理员的你是否考虑一下与否的控制之下。最后,当某位雇员离职或业务安排被更改,必须立即解除其访问权限设置。


    7、正如那句老话说的那样,信任但要核查。对即将招聘的雇员做官方背景调查,检查其是否有犯罪史(一些公司甚至评估招聘员工的公共社会媒体历史记录)。当涉及到技术供应商或云服务供应商时,确保他们确实是按照签署的合同承诺交付服务的。考虑访问您企业准备以电子方式与之分享客户数据的业务伙伴的数据中心业务经营站点,例如,让他们提供他们的安全细节,备份和相关人员介绍。


    8、移动智能手机和平板电脑的时代已经到来,了解其破坏性。无论您企业是否已经兴起使用智能手机或平板电脑来处理业务的转型趋势,必须承认这一需求是存在的,它们代表了不同的安全要求。这些新的操作系统平台的更新和控制与旧的PC和笔记本电脑的管理方法是不一样的。虽然移动设备市场的变化是快节奏的,无论是业务人员和IT管理人员都应该运筹帷幄的管理安全选项,包括在“BYOD”情况下,某些企业允许员工使用自己的智能手机和平板电脑处理业务。这将意味着需要在业务的安全需求与个人的个人数据的使用方面进行平衡,毕竟,员工才是这些设备的拥有者。


    最起码,BYOD政策可能引发某些法律问题,因为商业数据不再直接存储在由企业交付员工使用的设备上。移动设备管理软件是企业通常考虑使用的管理方法,而随之带来的问题是是否将分割的数据移动到所谓的“集装箱”.如果说能够给您带来任何一点安慰的话,大企业也都同样在努力解决这一棘手的问题,这是作为移动性革命的一部分。没有简单的答案可寻。


    9、不要忘记对这一切的物理访问。应该有一种方法来防止未经授权的人员访问商用电脑资源。这可能包括企业夜间的清洁人员。对于这些不速之客要采用礼貌但坚定的方式。


    10、虽然企业可能很小,但要从大处着眼。着眼于政策。这意味着企业需要制定雇员可接受的使用政策,明确规定员工在网上的行为,数据如何被共享和限制。让他们阅读这些管理政策并签字,明确是否有线上监控活动。应该对不遵守的员工行为进行处罚。但就某些员工行为的取缔通常不利于鼓励创造性思维和提高生产力,企业的在线沟通是至关重要的。因此,我们面临的挑战是找到正确的平衡点。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。