中小企业该如何生存?通常我们的重点是业务规划、营销策略、吸引额外投资等,但很少有人提到建立稳固的网络安全系统。然而,缺乏对网络威胁的清晰认识可能会剥夺中小型企业的成功机会。本文讨论了一些典型的网络安全错误,以及如何应对这些错误。典型的网络安全错误中小企业在成长为成熟企业的过程中会犯哪些网络安全错误?给员工过多的访问权限会立即授予管理员权限。那些共享这些访问权限的人通常认为,与不知道特定员工真正需要什么和他们的职责的情况下每周授予新的访问请求相比,一次授予对所有内容的访问权限要容易得多。然而,员工拥有的访问权限越多,出错的可能性就越大。如果企业希望最大限度地减少网络事件的数量,每个工作流参与者都应该只拥有其任务所需的访问权限。缺乏存储信息的规则通常对任何企业都不利。但在初创公司,由于员工流动率高,公司可能某一天找不到重要的工作文件。它们可能存在于某个地方,但具体位置未知。可能有开发人员或营销实习生知道这件事,但他们可能没有告诉任何人就离开了公司。密码管理混乱另一个常见问题是忘记企业社交网络或其他很少使用的服务密码。也许新员工设立了Facebook或LinkedIn帐户以帮助推广业务,但未能与其他员工共享帐户信息、离职或调任另一个角色——登录凭据消失了,恢复的可能性很小。一些企业可能认为,当员工流动率很高时,使用共享帐户可能是个好主意。但是,知道密码的人越多,通过网络钓鱼、疏忽或恶意意图发生数据泄露的可能性就越大。此外,当发生安全事件时,会大大增加企业调查事件的难度。另一个与密码相关的错误是当企业将某个文件存储在云中时,这意味着知道链接的任何人都可以访问它。这样做的明显好处是必要的信息很容易传达给所有员工。然而,这些文档可以被搜索引擎索引。换句话说,包含公司所有密码的文件可能会落入坏人之手。身份验证不充分如果中小企业没有忽视工作帐户的双因素身份验证,一些密码相关问题的危险性就会降低。双因素身份验证允许企业保护重要数据免受各种威胁,例如网络钓鱼。目前看来,首先需要双重保护的是金融业。应对网络威胁的技巧为避免犯“典型”错误,中小型企业尽量遵循以下建议:在授予员工访问资源或服务的权限时,应遵循最小特权原则。也就是说,员工必须拥有最低限度的访问权限——刚好足以执行他们的任务;确切知道SMB的重要信息存储在哪里以及谁有权访问这些信息。据此,在雇用新员工时制定指导方针,包括明确定义每个员工需要哪些账户以及哪些账户应仅限于某些角色;成熟的企业网络安全文化有助于防范网络威胁。例如,首先为员工创建网络安全手册,让每个人都保持同步;所有密码都必须存储在安全的密码管理器中。这将帮助员工不会忘记或丢失它们,并最大限度地减少外部人员访问公司帐户的机会。此外,应尽可能使用双因素身份验证机制;建议员工在离开办公桌时锁上电脑,并提醒员工办公室可能会被各种第三方访问,包括快递员、客户、分包商或求职者;考虑安装防病毒软件以保护您的设备免受病毒侵害,木马和其他恶意程序。原文链接:https://usa.kaspersky.com/blog/startup-cybersecurity-mistakes/26135/
