随着越来越多的企业上网,犯罪分子正在追随他们。如果您仍在使用昨天的网络安全策略,那么您很容易受到可能永久性损害您业务的恶意攻击。是时候醒来并投资学习网络安全策略了。
对强大网络安全战略的需求
当您经营一家小型企业时,您可能会感受到网络罪犯的目标。但事实并非如此。实际上,中小型企业比大型企业更容易受到攻击。
$config[code] not found网络犯罪分子不一定在寻找大公司。他们想要的是易于访问和有价值的数据。 “正是这些数据使企业具有吸引力,而不是规模 - 特别是如果它是美味的数据,例如大量的客户联系信息,信用卡数据,健康数据或宝贵的知识产权,”全球首席执行官Jody Westby说。网络风险。
不幸的是,许多小企业主(SBO)不承认这一点,并削减了他们的安全支出。根据普华永道2015年全球信息安全状况调查,年收入低于1亿美元的公司在2014年将安全支出削减了大约20%,而高于此水平的公司则将安全投资增加了5%。
这些削减的不幸结果是,大多数小企业将在未来的某个时刻成为受害者。根据网络保险领域的领导者蒂莫西·弗朗西斯(Timothy Francis)的说法,62%的网络破坏受害者是中小型企业。
个人攻击的费用可能从几百美元到几百万美元不等。这足以让许多公司破产。
网络保险可以抵消部分成本,但它对防止最初的违规行为起了很小的作用。小企业真正需要的是更好的网络安全策略。在业主联合起来提高安全性之前,他们将继续成为轻松的目标。
保护小企业的六个提示
每家公司都是独特的。您的需求可能与您最接近的竞争对手的需求大不相同。鉴于此,这里有一些网络安全策略和技巧,几乎任何企业都应考虑提高安全性。
1.实施安全通信方法
您企业面临的最大威胁是不安全的沟通。许多公司仍然选择通过电子邮件或直接邮件等相对不安全的渠道传输信息。
为了降低风险 - 特别是如果您受到HIPAA等合规性要求的约束 - 您需要投资于更安全的通信形式。这里有一个可能让您感到惊讶的提示:您是否知道传真是商业世界中最安全的通信形式?
“当通过传真发送文件时,它将被转换为二进制代码(1和0),通过电话网络发送,然后在另一端重新组装,”企业级传真解决方案的领导者XMedius的Karol Waldron说。 “黑客进入电话网络需要直接手动访问电话线,即使文件被截获,它也只会出现噪音,这使得它几乎不可能被解读/读取。”
除了使用传真,您还应该检查您公司的移动通信方法。如果您的员工使用移动设备进行工作,则需要对设备可以访问的信息进行限制,确定设备是否可以带回家,以及明确指导IT部门何时可以擦除设备。
2.创建复杂的密码策略
信不信由你,很多网络安全攻击都成功,因为密码过于简单。黑客可以访问使他们能够获取加密密码并破解密码的技术。有人称之为“野蛮强迫”。
科技专家保罗吉尔解释说:“蛮力是通过重复来压制计算机的防御能力。” “在密码破解的情况下,字典攻击涉及字典软件,它将英语字典单词与数千种不同的组合重新组合起来。”
这是你在电影中看到的那种东西,黑客每分钟使用数千种变化来破解一个字母。您无法阻止100%的密码威胁,您可以使黑客更加困难并减少遭受入侵的可能性。
这一切都始于创建复杂的密码策略。以下是一些需要了解的事项:
- 应要求员工使用大写和小写字母,数字和符号的组合创建密码。此外,密码应每隔几周重置一次。
- 管理帐户应使用更复杂的密码。永远不要设置简单的密码,如“Password01”或“Admin123”。黑客经常尝试这些过度使用的代码。
- 对不遵守密码规则并定期进行审核的员工实施实际后果。员工需要知道您认真对待密码强度和诚信。
即使您遵循这些技术,您也不会100%受到保护。确保您可以随时撤消用户的访问权限。如果帐户遭到入侵,这可以让您迅速做出回应。
3.使用安全备份计划
您应该已经有一个安全的备份计划,但请继续查看详细信息。许多网络犯罪分子在攻击一家小企业时使用一种称为“网络勒索”的策略。
他们会把你的一些有价值的数据作为人质,并要求勒索赎金。如果您有足够的备份计划,那么在这种情况下您将获得更多的杠杆作用。
通过安全备份计划,您的数据应该保存并存储在多个位置。理想情况下,其中一个是云解决方案,它独立于办公室中的任何物理硬件。
这不会自动阻止数据泄露,但它确实可以确保您永远不会失去对它的访问权限。
4.意识到内部威胁
您是否知道31.5%的攻击是由恶意公司内部人员执行的,23.5%的攻击是由无意的演员(即假装他们不知道自己在做什么的人)进行的?这意味着55%的攻击来自内部。
保护您的业务既是为了加强您的公司,也是为了加强内部协议。通过增加授权要求并密切关注任何有权访问安全数据的员工,您应该能够在数据泄露发生之前防止数据泄漏。
很容易因为看到员工或质疑他们的动机而感到内疚,但是你应该对你的企业和客户有所了解,即使是在内部也要注意攻击。
5.指定一个点人
小企业的障碍是缺乏资源。 SBO会说“我们不能雇用一名全职IT人员。”或者说:“我们的IT人员有很多工作要做,我们不能在他的板块上抛出另一件事。”
这些是有效的声明,但您需要找到解决方法。网络安全策略不是可选的,它们需要被视为核心活动。当您的企业需要在核心区域时,您会怎么做?你找到了满足需求的方法。
$config[code] not found但它适用于您的业务,查找并指定一名负责人来监督您的网络安全工作。即使员工戴着多个帽子并承担各种责任,也需要有人专注于安全。
“您的重点人物有三个主要职责:了解主要新闻和数字安全变化,了解您的业务安全有效运作的基本要求,并确保这些要求得到落实并保持更新”顾问Ty Kiisel说。
“这并不意味着负责人需要亲自完成所有工作,但他或她需要找到合适的服务或能够进行必要更新和改进的专业人员。”
6.彻底教育员工
除了重要人物之外,其他员工需要接受有关网络安全策略及其重要性的教育。为了保持安全并避免攻击,每个人都必须在同一页面上。
正如Kiisel所说,“员工越了解,他们就越能够保护易受攻击的数据,这对您的业务至关重要。”
您可以通过多种方式教育员工。首先制定培训计划。应该要求员工每个月参加一些定期培训。这可以像审查行业网站和阅读文章一样非正式,或者像购买具有专业开发课程的程序一样正式。
找出适合您业务的因素并从那里开始。
不要等到你受到攻击
现在是制定网络安全战略的时候了。如果你等到遭到袭击之后,最终可能需要花费数十万甚至数百万美元才能恢复。考虑上述提示并制定公司特定战略,使您的企业能够在没有攻击威胁的情况下运营。
有许多不同的方法,但重要的是你采取行动。现在不是犹豫不决或被动的时候。
网络安全照片来自Shutterstock
5评论▼