拥有资源和知识的员工来保护您的组织免受网络威胁是您所能拥有的最佳防线之一。
员工网络安全教育的重点之一应包括揭穿常见的网络安全误解。这份清单由美国国家网络安全联盟与公共和私人合作伙伴共同编制,基于美国各地企业领导人和员工的经验。我们可以它山之石可以攻玉的心态看一下,我们在这个过程中,该采取哪些有效措施?
10个常见误区
1.我的数据(或我可以访问的数据)没有价值
各种规模的组织都保存或可以访问值得保护的宝贵数据。此类数据可能包括但不限于就业记录、税务信息、机密通信、销售点系统、商业合同。 所有数据 都是有价值的。
采取行动:评估创建、收集、存储、访问和传输的数据,然后根据其敏感度对数据进行分类,以便采取适当的措施来保护数据。 详细了解 如何执行此操作。
2.网络安全是一个技术问题
组织不能依赖技术来保护其数据。网络安全的最佳方法是结合员工培训、明确且可接受的政策和程序以及实施最新技术(如防病毒和反恶意软件)。保护 组织的网络安全是全体员工的责任,而不仅仅是 IT 员工的责任。
采取行动: 教育每一位员工(在组织的每个职能部门和每个级别)了解他们保护所有业务信息的责任。通过 国家标准与技术研究所指南详细了解如何做到这一点。
3.网络安全需要大量的资金投入
如果您真的想保护您的组织,那么制定强大的网络安全策略确实需要财务投入。但是,您可以采取许多几乎不需要财务投入的措施。
采取行动: 制定并实施网络安全政策和程序;限制管理和访问权限;启用多因素或双因素身份验证;培训员工识别恶意电子邮件并创建备份手动程序,以确保在网络事件期间关键业务流程正常运行。此类程序可能包括在第三方供应商或网站无法运行的情况下处理付款。使用NCA的 “快速获胜”提示表详细了解如何做到这一点。
4.将工作外包给供应商将让你在发生网络事件时免于承担安全责任
将部分工作外包给其他人是完全合理的,但这并不意味着您放弃了保护供应商可以访问的数据的责任。数据属于您,您有法律和道德责任确保其安全。
采取行动: 确保与所有供应商签订了详尽的协议,包括如何处理公司数据、谁拥有数据并有权访问数据、数据保留多长时间以及合同终止后数据将如何处理。您还应该让律师审查所有供应商协议。通过 美国律师协会的这份清单详细了解如何做到这一点。
5.网络攻击受一般责任保险的保障
许多标准的商业责任保险政策不涵盖网络事件或数据泄露。
采取行动: 与保险代表交谈,了解您是否拥有任何现有的网络安全保险,以及哪种保险最适合您公司的需求。通过 联邦贸易委员会 (FTC) 的小型企业中心详细了解如何做到这一点。
6. 网络攻击总是来自外部行为者
简而言之,网络攻击并不总是来自外部行为者。一些网络安全事件是由员工意外造成的,例如他们将敏感信息复制并粘贴到电子邮件中并将其发送给错误的收件人。其他时候,心怀不满的(或前)员工可能会通过对组织发起攻击来进行报复。
采取行动: 在考虑威胁形势时,重要的是不要忽视可能来自组织内部的潜在网络安全事件,并制定策略以尽量减少这些威胁。使用此 网络安全和关键基础设施机构资源详细了解如何做到这一点。
7.年轻人比其他人更擅长网络安全
通常情况下,组织中最年轻的人会成为默认的“IT”人员。年龄与更好的网络安全实践没有直接关系。
采取行动: 在让某人负责管理社交媒体、网站、网络等之前,请向他们说明使用期望和网络安全最佳实践。详细了解不同世代的在线行为。
8.安全项目只要符合行业标准就足够了
例如,美国要求遵守《健康保险流通与责任法案》(HIPAA)或支付卡行业(PCI)是保护敏感信息安全的关键要素,但仅仅遵守这些标准并不等同于组织拥有强大的网络安全策略。
采取行动: 使用强大的框架(例如 NIST 网络安全框架)来管理与网络安全相关的风险。了解有关 NIST 网络安全框架的更多信息。
9.数字安全和物理安全是分开的
许多人狭隘地将网络安全与软件和代码联系起来。然而,在保护敏感资产时,您不应忽视物理安全。
采取行动: 在规划中包括对办公室布局的评估以及未经授权的物理访问敏感信息和资产(例如服务器、计算机、纸质记录)的难易程度。评估完成后,实施策略和政策以防止未经授权的物理访问。政策可能包括控制谁可以访问办公室的某些区域以及在旅行时适当保护笔记本电脑和手机。在 FTC 的网站上了解有关物理安全的更多信息。
10.当我购买新软件和设备时,会自动获得安全保护
某些东西虽然是新的,但并不意味着它是安全的。
采取行动: 购买新技术时,请确保它与最新软件配合使用,并立即将制造商的默认密码更改为安全密码。创建新密码时,请为帐户或设备使用较长且独特的短语。注册新的在线账户?请务必在开始使用该服务之前立即配置您的隐私设置。查找有关 保护新设备的信息。
