一般認(rèn)為,員工數(shù)量在500名以內(nèi)的小企業(yè)構(gòu)成了美國(guó)公司構(gòu)成的絕大多數(shù),他們成為了美國(guó)經(jīng)濟(jì)的一個(gè)重要組成部分。而他們的客戶自然希望個(gè)人和財(cái)務(wù)信息是保密的,而數(shù)據(jù)被破壞對(duì)于小企業(yè)而言無(wú)疑是一個(gè)痛苦且成本昂貴的考驗(yàn)。像大企業(yè)一樣,小企業(yè)接受付款卡也必須遵循支付卡行業(yè)規(guī)則。而這對(duì)于某些甚至可能連IT部門(mén)都沒(méi)有的小企業(yè)來(lái)說(shuō),如何解決網(wǎng)絡(luò)安全問(wèn)題可謂是一項(xiàng)相當(dāng)艱巨的任務(wù)。
如下將介紹十大貼士,可以幫助小企業(yè)開(kāi)始維護(hù)他們的IT安全:
1、企業(yè)管理者需要掌握最重要的數(shù)據(jù)都在何處的基本信息,無(wú)論其是在傳統(tǒng)的臺(tái)式機(jī)和服務(wù)器站點(diǎn),或云服務(wù)和移動(dòng)設(shè)備上(某些企業(yè)可能有BYOD政策)。無(wú)論這些信息是由企業(yè)內(nèi)部的IT經(jīng)理或是由外部技術(shù)供應(yīng)商所提供的,相關(guān)的數(shù)據(jù)存儲(chǔ),訪問(wèn)權(quán)限和數(shù)據(jù)處理應(yīng)形成規(guī)范的文檔,包括任何相關(guān)的安全控制措施。這需要企業(yè)的業(yè)務(wù)人員和技術(shù)管理人員一起有意識(shí)做出決定,最好同時(shí)遵循相關(guān)法律規(guī)定。畢竟,這些安全控制會(huì)充分涉及到相對(duì)的風(fēng)險(xiǎn)。這樣,也就為企業(yè)的備份和災(zāi)難恢復(fù)計(jì)劃奠定了基礎(chǔ)。
2、未雨綢繆的為糟糕狀況的發(fā)生做好規(guī)劃。水災(zāi),火災(zāi),地震,外賊和內(nèi)部威脅,當(dāng)然,還包括惡意軟件均是可能影響企業(yè)存儲(chǔ)數(shù)據(jù)安全性的各種因素。自動(dòng)備份過(guò)程。因此,企業(yè)管理者有必要詢問(wèn)其員工如果物理站點(diǎn)突然無(wú)法使用會(huì)如何應(yīng)對(duì)的問(wèn)題。企業(yè)有必要對(duì)可能出現(xiàn)的混亂狀況做好規(guī)劃,這種混亂狀況就算不是幾個(gè)月也至少可能持續(xù)幾周,企業(yè)還必須對(duì)其規(guī)劃進(jìn)行測(cè)試,以確保其是切實(shí)可行的。
3、就當(dāng)前網(wǎng)絡(luò)攻擊的性質(zhì)對(duì)企業(yè)員工進(jìn)行培訓(xùn)。中小型企業(yè)往往認(rèn)為網(wǎng)絡(luò)罪犯將會(huì)將目標(biāo)瞄準(zhǔn)那些真正的大企業(yè),而不是他們,但這根本不是真的。網(wǎng)絡(luò)犯罪分子尤其喜歡將目標(biāo)對(duì)準(zhǔn)中小型企業(yè),通過(guò)網(wǎng)上銀行和支付渠道實(shí)施詐騙,掏空了企業(yè)賬戶。遺憾的是,實(shí)際上,相關(guān)法律對(duì)于企業(yè)銀行賬戶資金被盜的保護(hù)甚至比普通消費(fèi)者還少。銀行甚至可能在小企業(yè)的困難時(shí)期,質(zhì)疑其存在安全性問(wèn)題。網(wǎng)絡(luò)犯罪通常都是如何開(kāi)始其犯罪行為的呢?在許多情況下,是由于受害人打開(kāi)了帶有惡意軟件附件的電子郵件,而這種“網(wǎng)絡(luò)釣魚(yú)”電子郵件可以讓攻擊者滲透到網(wǎng)絡(luò)中。為了解決這一問(wèn)題,企業(yè)可以采用垃圾郵件過(guò)濾器來(lái)嘗試捕捉釣魚(yú)電子郵件和其他垃圾郵件。但是其中仍然有一些郵件,特別是針對(duì)性很強(qiáng)的郵件無(wú)法被過(guò)濾。這就需要通過(guò)對(duì)員工進(jìn)行培訓(xùn),不要打開(kāi)任何看來(lái)不尋常的郵件。由于網(wǎng)絡(luò)惡意軟件也很普遍,在員工使用的互聯(lián)網(wǎng)上進(jìn)行網(wǎng)絡(luò)控制也是一個(gè)好主意。大公司也已經(jīng)開(kāi)始使用先進(jìn)的惡意軟件防護(hù)系統(tǒng),可以以各種方式追蹤有針對(duì)性的攻擊,而小企業(yè)也應(yīng)該這么做(如果他們負(fù)擔(dān)得起的話)。還有一個(gè)考慮設(shè)立一個(gè)專門(mén)的計(jì)算資源嚴(yán)格用于在線轉(zhuǎn)賬的有力的論據(jù):有很多基于手機(jī)的社交詐騙,現(xiàn)在也非常值得員工們引起警惕。
4、部署基礎(chǔ)安全。這意味著企業(yè)需要部署防火墻,無(wú)線和有線訪問(wèn)接入點(diǎn),并在終端和服務(wù)器上安裝反惡意軟件。畢竟,傳統(tǒng)的基于簽名的防病毒僅僅是一種有限的防御形式?紤]采用如“白名單”等技術(shù),以禁止電腦軟件下載。多年來(lái),安全供應(yīng)商們也坦率地承認(rèn)他們往往很難針對(duì)中小企業(yè)建立起市場(chǎng)營(yíng)銷,銷售和支持渠道,并已經(jīng)試圖創(chuàng)建面向用戶數(shù)量少,技術(shù)含量低的基本產(chǎn)品版本來(lái)瞄準(zhǔn)中小企業(yè)市場(chǎng)。但仍有些做法是至關(guān)重要的:必須盡可能快地嚴(yán)格修補(bǔ)所有操作系統(tǒng)和應(yīng)用程序的漏洞。如果你企業(yè)在安全專業(yè)方面的人手不足,您可以通過(guò)一套安全管理服務(wù)安排尋求外界的技術(shù)支持。例如,如果發(fā)生惡意軟件爆發(fā)事故,你企業(yè)將需要專業(yè)的安全維護(hù)人員。管理者需要多讀一些這方面的文章,參加一些技術(shù)用戶小組,與業(yè)內(nèi)同仁探討如何獲得外部援助。
記住,如果你的企業(yè)接受支付卡,那么,企業(yè)必須強(qiáng)制性的堅(jiān)持PCI指南規(guī)定的數(shù)據(jù)隱私的要求,其中還包括加密敏感信息。在醫(yī)療保健行業(yè),也需要遵守政府的HIPAA和高科技安全規(guī)則來(lái)對(duì)個(gè)人識(shí)別信息加密。在數(shù)據(jù)閑置和傳輸過(guò)程中進(jìn)行加密是一個(gè)好主意。
5、當(dāng)處理舊電腦和其他需要報(bào)廢的設(shè)備時(shí),務(wù)必刪除硬盤(pán)的存儲(chǔ)數(shù)據(jù),并摧毀他們。這也適用于其他類型的媒介。別忘了保護(hù)敏感信息和文件。
6、當(dāng)涉及到每個(gè)個(gè)體訪問(wèn)數(shù)據(jù)時(shí),務(wù)必記錄詳細(xì)信息。這可能需要花費(fèi)一些時(shí)間,但確定哪些員工或外部的商業(yè)伙伴真的需要使用網(wǎng)絡(luò)方面的應(yīng)用程序,并確定他們做了哪些工作。保持這個(gè)記錄,并考慮使用包括密碼之外的保護(hù)措施,也許可以采用雙因素身份驗(yàn)證,甚至生物識(shí)別技術(shù)。這也需要系統(tǒng)管理員來(lái)負(fù)責(zé),他們的工作特性賦予了他們掌握所有使用中的信息系統(tǒng)的權(quán)力。安全驗(yàn)證選項(xiàng)包括要求雙認(rèn)證過(guò)程——這是美國(guó)國(guó)家安全局在發(fā)生愛(ài)德華·斯諾登泄密事件之后聲稱更有力的措施。您的企業(yè)的數(shù)據(jù)信息可能不是絕密的美國(guó)國(guó)家安全局的,但你的內(nèi)部網(wǎng)絡(luò),所有最關(guān)鍵的數(shù)據(jù)可能是一個(gè)系統(tǒng)管理員的你是否考慮一下與否的控制之下。最后,當(dāng)某位雇員離職或業(yè)務(wù)安排被更改,必須立即解除其訪問(wèn)權(quán)限設(shè)置。
7、正如那句老話說(shuō)的那樣,信任但要核查。對(duì)即將招聘的雇員做官方背景調(diào)查,檢查其是否有犯罪史(一些公司甚至評(píng)估招聘員工的公共社會(huì)媒體歷史記錄)。當(dāng)涉及到技術(shù)供應(yīng)商或云服務(wù)供應(yīng)商時(shí),確保他們確實(shí)是按照簽署的合同承諾交付服務(wù)的。考慮訪問(wèn)您企業(yè)準(zhǔn)備以電子方式與之分享客戶數(shù)據(jù)的業(yè)務(wù)伙伴的數(shù)據(jù)中心業(yè)務(wù)經(jīng)營(yíng)站點(diǎn),例如,讓他們提供他們的安全細(xì)節(jié),備份和相關(guān)人員介紹。
8、移動(dòng)智能手機(jī)和平板電腦的時(shí)代已經(jīng)到來(lái),了解其破壞性。無(wú)論您企業(yè)是否已經(jīng)興起使用智能手機(jī)或平板電腦來(lái)處理業(yè)務(wù)的轉(zhuǎn)型趨勢(shì),必須承認(rèn)這一需求是存在的,它們代表了不同的安全要求。這些新的操作系統(tǒng)平臺(tái)的更新和控制與舊的PC和筆記本電腦的管理方法是不一樣的。雖然移動(dòng)設(shè)備市場(chǎng)的變化是快節(jié)奏的,無(wú)論是業(yè)務(wù)人員和IT管理人員都應(yīng)該運(yùn)籌帷幄的管理安全選項(xiàng),包括在“BYOD”情況下,某些企業(yè)允許員工使用自己的智能手機(jī)和平板電腦處理業(yè)務(wù)。這將意味著需要在業(yè)務(wù)的安全需求與個(gè)人的個(gè)人數(shù)據(jù)的使用方面進(jìn)行平衡,畢竟,員工才是這些設(shè)備的擁有者。
最起碼,BYOD政策可能引發(fā)某些法律問(wèn)題,因?yàn)樯虡I(yè)數(shù)據(jù)不再直接存儲(chǔ)在由企業(yè)交付員工使用的設(shè)備上。移動(dòng)設(shè)備管理軟件是企業(yè)通常考慮使用的管理方法,而隨之帶來(lái)的問(wèn)題是是否將分割的數(shù)據(jù)移動(dòng)到所謂的“集裝箱”。如果說(shuō)能夠給您帶來(lái)任何一點(diǎn)安慰的話,大企業(yè)也都同樣在努力解決這一棘手的問(wèn)題,這是作為移動(dòng)性革命的一部分。沒(méi)有簡(jiǎn)單的答案可尋。
9、不要忘記對(duì)這一切的物理訪問(wèn)。應(yīng)該有一種方法來(lái)防止未經(jīng)授權(quán)的人員訪問(wèn)商用電腦資源。這可能包括企業(yè)夜間的清潔人員。對(duì)于這些不速之客要采用禮貌但堅(jiān)定的方式。
10、雖然企業(yè)可能很小,但要從大處著眼。著眼于政策。這意味著企業(yè)需要制定雇員可接受的使用政策,明確規(guī)定員工在網(wǎng)上的行為,數(shù)據(jù)如何被共享和限制。讓他們閱讀這些管理政策并簽字,明確是否有線上監(jiān)控活動(dòng)。應(yīng)該對(duì)不遵守的員工行為進(jìn)行處罰。但就某些員工行為的取締通常不利于鼓勵(lì)創(chuàng)造性思維和提高生產(chǎn)力,企業(yè)的在線溝通是至關(guān)重要的。因此,我們面臨的挑戰(zhàn)是找到正確的平衡點(diǎn)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:小企業(yè)不可忽視的十大安全風(fēng)險(xiǎn)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839515682.html