1. 保护数据本身,而不仅仅是数据周边
集中精力保护数据周围的墙似乎是许多企业的重点,几乎 90% 的安全预算都用于防火墙技术。然而,有数以百计的潜在途径可以绕过防火墙,包括通过客户、供应商和员工。所有这些人都有能力绕过外部网络安全,滥用敏感数据。因此,你需要确保安全工作的重点是数据本身,而不仅仅是外围。
2. 关注内部威胁
人们很容易将来自企业外部的威胁想象成来自企业内部的威胁,因为在新闻和电视中,这些威胁往往是最大、代价最高的威胁。但实际上,对您造成最大潜在伤害的却是您的内部人员。由于其性质,内部攻击很难被发现和预防。它可以很简单,就像员工点击一个他们认为来自可信来源的电子邮件附件,然后释放出勒索软件蠕虫。这类威胁在全球范围内最为普遍,也最为昂贵。
3. 加密所有设备
当今世界,越来越多的人选择在移动或个人设备上工作。如何确保这些设备值得信赖?确保所有数据都以加密格式存储,并在迁移过程中保持加密。
4. 测试安全性
如果你认为在每台电脑或设备上安装杀毒软件就能保护公司免受攻击,那可就要三思了。正如最近发生的数据泄露事件所表明的那样,聘请专业机构进行安全审计总会发现你意想不到的弱点。我鼓励你去办公室转转,看看员工的办公桌。我敢保证,只要你仔细观察,就会发现写在便签上的密码。
5. 删除多余数据
许多组织都将处理敏感信息作为其业务的重要组成部分,尤其是医疗保健、金融、公共部门和教育领域的公司。确保信息处置机制到位有助于防止陈旧数据被遗忘和日后被盗。建立碎纸、擦除或以其他方式修改冗余数据使其无法破译的系统,将大大有助于确保您的员工不会将其藏匿起来。
6. 在网络安全上投入更多资金和时间
许多首席信息官都承认,必须在数据安全上投入更多资金和时间,因为缺乏数据安全仍然是 IT 基础设施面临的头号风险。许多需要保护敏感商业数据的大公司都任命了首席安全官,而且往往是董事会级别的职位,因为他们认识到,网络安全必须成为所有业务流程不可分割的一部分。
7. 建立复杂的密码
许多企业仍在采用宽松的密码政策,导致关键账户的密码简单、通用、易被破解,而这些账户可以访问敏感和有价值的数据。实施强密码是加强这方面安全的第一步。使用合理复杂的密码,至少每 90 天更换一次。切勿使用 "12345 "或 "Admin1 "之类的密码。切勿写下密码并将其留在工作站上,让他人发现。
8. 定期更新程序
确保您的计算机已打上适当的补丁并进行了更新。这通常是确保计算机得到充分保护的最 佳方法。您的安全应用程序只有在最新更新时才能发挥最大作用。由于黑客和勒索软件会利用早期软件版本中的弱点不断进行调整,因此建议定期更新这些应用程序。
9. 定期备份数据
这应该已经是 IT 安全战略的重要组成部分。有了安全备份,从文件意外删除到勒索软件完全锁定,您都可以应对自如。作为安全最 佳实践,备份数据应存储在远离主要营业场所的安全远程位置。
10. 树立全公司的安全意识
每个拥有密码和用户名的人都有责任保证数据的安全。IT 管理员必须定期提醒经理和员工,不得与任何外部人员共享登录信息。数据安全是每个人的工作,并不仅限于 IT 团队的少数员工。
版权声明
本文系作者授权念乡人发表,未经许可,不得转载。