员工在线安全教育的重点之一应该包括揭穿通常引用的网络安全误区。这份名单由美国国家网络安全联盟与公共和私人合作伙伴共同整理而成,其依据是美国各地企业领导人和员工的经验。
误区1:我的数据(或我有权访问的数据)没有价值
各种规模的组织都可以维护或访问值得保护的有价值的数据。这些数据可能包括但不限于就业记录、税收信息、机密信件、销售点系统、商业合同。记着一点:所有数据都是有价值的。
应对策略:评估创建、收集、存储、访问、传输的数据,然后根据其敏感度对数据进行分类,以便采取适当的步骤进行保护。
误区2:网络安全是技术问题。
组织不能仅依靠技术来保护其数据。最好通过结合员工培训,明确且可接受的政策和程序以及实施最新技术(例如防病毒和防恶意软件)来实现网络安全。 组织的网络安全是整个员工的责任,而不仅仅是IT员工。
应对策略:对每位员工(在组织的每个职能部门和各个级别)进行责任教育,以保护所有业务信息。通过美国国家标准技术研究院指南,了解有关如何执行此操作的更多信息。
误区3:网络安全需要大量的财务预算
如果您认真地保护组织,那么强有力的网络安全策略确实需要财务承诺。但是,您可以采取许多措施,很多措施几乎不需要财务预算。
应对策略:制定和制定网络安全政策和程序;限制管理和访问权限;启用多因素或两因素身份验证;培训员工发现恶意电子邮件并创建备份手动程序,以在网络事件期间保持关键业务流程的正常运行。此类程序可能包括在第三方供应商或网站无法运行的情况下处理付款。使用NCSA的“快速获胜”技巧表了解更多有关如何执行此操作的信息。
误区4:网络事件由外包供应商的承担安全责任
将您的部分工作外包给其他人是完全有意义的,但这并不意味着您放弃了保护供应商可以访问的数据的责任。数据是您的,并且您有法律和道德责任确保其安全,严防供应链安全也是当今信息安全领域比较关注的话题。
应对策略:确保您与所有供应商都已达成全面的安全协议,包括如何处理公司数据、谁拥有并有权访问数据、数据保留了时长以及合同终止后数据将如何处理,以及征求或咨询律师或法务人员有关协议的意见及建议。
误区5:网络违规行为由一般责任保险承保
许多标准的商业责任保险政策并不涵盖网络事件或数据泄露。
应对策略:与您的保险代表联系,以了解您是否已拥有任何现有的网络安全保险,以及哪种类型的保单最适合您公司的需求。显而易见,这个保险最多是从经济上挽回损失,而很多合规性比如欧洲GDPR、其他国家的信息安全方面的法律法规等,这个违法成本是保险无法挽回的。