有关可能对企业产生重大财务和声誉影响的数据泄露和泄露事件的惊喜层出不穷。企业高管似乎无法逃脱警告头条的猛烈攻击,以及大量专家就如何避免这些网络安全攻击提供的建议。尽管如此,网络安全攻击仍在继续。最糟糕的是,网络犯罪分子通常以最明显或最基本的向量和漏洞为目标。仅在2019年7月,这样的例子就有很多:亚马逊数据库中数百万条记录被泄露,学区的用户和员工记录被软件漏洞暴露,足球迷的财务信息被非法窃取。分子窃取等。建立和管理稳健的安全策略至关重要。除了不断监控变化之外,企业还必须知道风险在哪里并解决任何可行的问题。制定成功的网络安全战略的第一步是确保整个组织的充分参与,这不仅是一种共识,也是一种意识。建立或更新安全策略将对业务和技术产生影响。整个企业都需要了解网络安全,以便将其视为公司的业务推动因素和竞争优势,而不是障碍。排除关键决策者可能会减慢采用率。策略一:考虑使用外部资源来支持设计安全策略。没有必要将整个项目外包,因为这可能会引起内部不满。然而,安全顾问的技能和知识可以提供关键的专业知识和经验,因为他们对一系列组织安全需求和挑战的熟悉可以帮助加速项目并确保组织特定的考虑因素不会被忽视。一旦达成协议,似乎是启动项目的合适时机,但请稍等。定义组织安全策略的下一步实际上是退后一步,与区域领导坐下来了解他们的日常工作,包括使用哪些系统、数据存储在哪里以及第三方如何供应链与企业互动。理想情况下,需要进行完整的软件审计。至少,企业需要了解正在使用什么、由谁使用以及更新频率。这需要时间,而且不是一件小事。但请记住,由于基本的安全漏洞会发生许多违规行为,因此这个阶段非常值得投资,以确保为组织设计正确的安全策略。策略二:值得记住的是,虽然IT部门有一个正在使用的软件列表,但它并不详尽。部门通常会在IT的职权范围之外购买和管理软件。这些工具被称为影子IT,在正常业务的监视下运行。为了实施成功的安全策略,必须识别、审计这些项目并将其置于内部IT团队的权限之下。当每个人都了解项目的影响并且清楚需要保护、更新或停用的内容时,项目就可以开始了。业务和流程发生的方式将会发生变化,这意味着一些员工可能会抱怨,IT团队可能会接到越来越多的支持电话。尽管存在暂时的不便,但安全策略管理应该成为一个定期和持续的过程,一旦完成就对软件、设备和风险进行定期审计。没有这个持续的组成部分,所有的努力都将毫无价值。此外,如果发生违规,理解和纠正事件所需的工作量会急剧增加。策略三:将持续的用户教育视为您的安全策略的一部分。许多安全政策在很大程度上取决于员工,因此创建一个安全培训计划来教育用户使用强密码、如何发现虚假网站以及及早发现网络钓鱼/鱼叉式网络钓鱼电子邮件是有意义的。创建和维护成功的安全策略并非易事,但在正确的支持和外部资源的帮助下,它不一定是消极的体验。事实上,通过更安全的数据访问和受过更好教育的用户,最终结果将是一个能够在当今数字和基于云的世界中取得成功的更强大的企业。
