拥有安全文化(包括教育、IT运营和安全团队之间的协作以及安全工具)是至关重要的,因为每个员工都是企业安全的一部分。这是IDG-TECH(谈)在最近一次网络讨论中达成的共识。保护您的企业并非易事。这是因为组织需要在安全方面对员工进行教育和培训,管理和保护数百甚至数千台设备,并始终掌握不断变化的安全威胁。企业首席安全官(CSO)和首席信息安全官(CISO)依靠其强大的信息网络来尽可能确保其组织的安全。IDGTECH(Talk)在推特和视频直播中发起讨论,与安全专家和科技行业观察员一起探讨2020年企业安全状况以及如何防范网络攻击者。缺乏安全意识是一个问题缺乏安全意识仍然困扰着许多企业,因为员工不可避免地会犯错误并使企业容易受到攻击。波士顿学院首席技术专家彼得·萨尔维蒂(PeterSalvitti)表示,这些错误包括:密码强度低、电子邮件处理不当、政策和工具过时、没有监控以及不知道数据所在的位置。微软M365卓越中心的安全与合规架构师WayneAnderson补充说,业务经理通常对威胁一无所知,并且不愿意改变传统做法,即使这意味着可能会降低他们业务的脆弱性。“一些企业高管总是喜欢说这两件事:‘我们就是这样做的,我们真的不知道该怎么做,’和‘我们只是没有那么大的目标。’”CloudTechnologyPartners(CTP)公司副总裁兼首席云计算架构师EdFeatherston解释了企业如何成为黑客的目标。网络安全专家ScottSchober说:“我们通常会与客户建立一个公共共享/存储点,通常在几分钟内有人试图攻击,而客户会说,‘我没想到会有这种反应’。”安全意识的缺乏还体现在员工的个人行为上,比如在社交媒体上分享过多的信息。如何提高业务安全性企业可以通过改进密码策略基础知识、创建安全系统来验证密码是否正在更新以及培训员工来解决安全问题。做好这项工作的一个关键方面是通过加强员工对持续安全的参与来营造安全文化。企业希望员工感觉他们是安全解决方案的一部分。正如Salvitti所说,“企业不会将员工视为薄弱环节,而是让他们参与进来,让他们成为项目的利益相关者和计划的一部分。”技术作家WillKelly对此表示赞同,他说:“这需要更多具有安全意识的员工、开发人员和运营人员。然后使用行业标准框架、培训和工具来加强这些人的安全意识。”此外,Salvitti强调IT运营和安全需要协同工作。“IT运营团队应该与企业的安全团队合作,而不是排斥他们,需要包括他们,”他说。ZeusKerravala在最近的一篇文章《2020年首席信息官的大任务:将安全和IT运营结合在一起》中写道,通过缩小这些孤立团队之间的差距,企业可以提高知名度并获得更好的安全性。Kerravala写道:“研究发现,在安全与IT之间缺乏协作的组织中,修补IT漏洞所需的时间比关系良好的团队多两周。这种延误可能会给企业带来巨大的业务中断、品牌声誉受损,甚至运营瘫痪的风险。”Salvitti说,企业还必须验证他们使用的产品和服务的安全性。他说,“企业需要问问自己,他们是否参与并订阅了已知的安全框架?他们是否知道互联网安全中心(CIS)的20项优秀安全控制措施?他们是负责安全的行业机构的成员吗?使用的产品和服务是否符合最新的规定?”Tapad高级信息安全专家BenRothke表示,安全层可以为黑客攻击提供缓冲,为员工提供多道防线,减轻他们的压力。时刻保持警惕。“企业需要纵深防御,”Rothke说,“防火墙、过滤、数据丢失防护(DLP)、物联网安全、加密、入侵检测系统和入侵防御系统(IDS/IPS)、DNS安全、容器安全、web应用应用防火墙(WAF)、DDoS防护、云安全等信息安全工具,同时也要注意人身安全。”
