企业总在为业务安全奔波劳碌。但是,你确保你的安全措施足以保护公司、客户和员工吗?安全领域从没有“足够安全”这个说法。
技术的发展永不停息,相应的,企业面临的安全威胁也在不断变迁。这就造就了一种局势:某些安全公司总试图指出企业的安全措施缺陷,并哄骗企业去购买那些可能永远用不上的服务。这导致许多公司忽视了一些更明显的安全风险。
以下是一些显而易见却往往被忽视的网络安全风险。
1. 心怀不满的员工
如果你的员工(或前员工)觉得待遇不公,他们很可能会寻求报复。这会为公司带来极大的安全风险。如果该员工拥有管理员访问权限或者是内部IT团队的成员,这将酿成灾难。
建议:为了解决这个问题,你最好能经常检查系统网络,以停用过期的特权帐户。理想情况下,当员工离职时,你应该第一时间限制或停用这些账户。
2. 缺乏培训的雇员
如果公司没有对员工进行安全风险教育,那就是自讨苦吃。公司应当确保员工知晓阅读私人邮件、点击链接、或通过公司网络访问未经批准的网站的风险。并且,公司还需强调一些简单的事故可能蕴含的风险,比如丢失或乱放存有公司账户、密码的手机、笔记本电脑或平板电脑。
建议:确保在你的所有员工获取公司网络访问许可前,他们已经接受了适当的互联网和网络安全培训。不幸的是,许多员工不了解业务安全和个人安全的区别,认为一切都安全无虞。他们不明白强密码的重要性,也不会费心去创建或经常改变强密码。你也可以加密你的商业网络,以防止任何未被授权的系统访问可以获得信息。
3. 个人设备(BYOD)
人们惯于随身携带个人移动设备,有些公司还为员工提供了办公专用的制式笔记本电脑、平板电脑或手机。也就是说各色移动设备将接入公司网络,而约70%的泄密事件正是由移动设备引起的。员工只是下载了一个嵌入病毒的应用,然后公司的网络系统就被入侵了。
建议:最好设置一些网络入侵预防和检测系统,这些系统能识别、评估潜在威胁,并隔离和消除它们。不管公司怎样管理移动设备,不管员工是否乐意使用公司提供的设备,他们还是会携带并使用自己的设备,所以每个公司都应该建立一套系统加以防范。
4. 云服务
任何基于云的应用都有很多安全隐患。这些应用无论在何时何地都可以被渗入,而这让它们格外危险。如果员工使用云服务来存储文件或数据以便于远程工作,公司的网络就有可能被置于危险之中。一旦有人将病毒或其他恶意软件传到设备上或附在文件里,它就可以通过云扩散到所有接入的设备上。
建议:加密是最好的解决方法。256位AES加密是最理想的情况,但是即便你的加密安全性没这么强,有总比没有好。
5. 过期或未打补丁设备
路由器、打印机、内部服务器等部分网络设备需要使用固件或软件操作。这意味着这些设备需要更新来消除漏洞和提高性能。许多安全措施都建议禁用所有自动更新。然而,许多公司不能及时有效地手动检查更新。这意味着由于过时的安全协议,网络设备将很容易被入侵。
建议:不建议开启自动更新功能,你可以使用补丁管理软件来监控所有的网络设备。这个软件将在新更新可用时通知您,并下载和应用已许可的更新。更好的方法是,让员工或部门创建一个时间表,按照时间表检查每一个网络系统的更新文件。如果某一网络设备在一定的时间(通常为60-90天)内没有更新,你应将该设备从网络断开并删除,直到新的安全补丁可用。
6. 业务外包
很多公司将部分业务外包给第三方(比如销售网点)。虽然这样做好处多多,但也带来了很多风险。这些服务提供商需要远程运行大量的系统,这意味着一个代理往往要管理至少数百个账户。这导致服务提供商倾向于自动存储你的公司和设备所使用的用户名和密码。另一种可能是,服务提供商用了统一的密码来运作各个账户。一旦他们使用的设备丢失、被盗、被入侵,企业的个人信息就门户大开了。
建议:你应当确保你的第三方服务商使用的是当前最可靠的远程操作技术,并且再三确认服务商系统是否安全,以及你的信息是否被妥善保管。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】