對于許多企業來說,IT基礎設施已經擴展到看似無邊界的程度。許多員工在遠程或混合模式下工作,基于云的服務已成為常態,邊緣計算和物聯網正在持續增長。
這在某些方面是有利的,例如保持員工滿意度、增加需要數據人員的訪問權限以及增強數據分析等,但同時也增加了網絡安全風險,因此,企業必須不斷重新審視其IT政策,以確保這些政策是否需要更新,并在出現新的技術使用案例時,保持警惕并定義新的政策。
以下是一些重要的IT政策,供企業參考以確保更加安全的運營環境。
可接受使用政策
這是任何網絡安全計劃的基本之一:確保整個企業正確使用IT資產。可接受的使用政策描述了企業認為其資產和數據的可接受使用,簡言之,這項政策解釋了員工在使用公司資產時的期望。
通過為用戶提供指南,說明他們可以做什么以及如何做事的限制,企業可以減少風險。
“在制定IT政策時,最關鍵的領域之一是資產和數據的可接受使用,包括用戶行為。”在線商業指南提供商Step by Step Business的聯合創始人Esther Strauss說。
“這項政策對于維護企業IT基礎設施的完整性和安全性至關重要,”Strauss說,“可接受的使用政策對員工如何使用公司資源(如計算機、網絡和數據)設定了明確的指南。”
這項政策在多個方面是必要的,首先,它有助于防止資源濫用,這可能導致安全漏洞。例如,員工可能會通過訪問未經授權的網站或使用不安全的個人設備而無意中下載惡意軟件。
其次,有效的使用政策有助于保護敏感數據,它提供了有關如何處理、存儲和傳輸數據的指南,這對于確保符合數據保護法規至關重要。
AI使用政策
AI對許多企業來說越來越重要,但這項技術也存在風險,用戶需要指導如何正確使用工具和數據。
“企業需要開始定義清晰的AI使用政策,”促銷產品供應商BAMKO的IT總監Ari Harrison說,“如果已有關于數據泄露的政策,則應更新以包含關于大型語言模型(LLM)的具體內容。例如,政策應明確規定禁止使用公司信息提示工具如ChatGPT。”
通過這些政策,企業可以確保在使用新興技術時保護其數據和系統的安全。
Harrison表示,不僅要制定可接受的AI使用政策,還要通過定義的保護措施來執行這些政策。“Microsoft Defender現在可以跟蹤、警報和阻止LLM的使用,以確保符合這些政策。”他指出,“實施這些措施有助于防止未經授權的數據使用和潛在的安全漏洞。”
越來越多的公司在整合LLM的同時確保這些模型不會基于其專有數據進行訓練。Harrison說:“這種方法有助于避免風險并保持對AI使用的控制。”
使用最近發布的ISO 42001 AI認證框架可以顯著增強企業的AI治理方法。Harrison指出,ISO 42001專為AI設計,“該框架提供了一個結構化模型來管理AI風險,并提供了對AI使用的可辯護方法。”
數據管理政策,包括數據分類
保護數據,尤其是高度敏感的信息,是任何IT政策策略的關鍵部分。
Hyperproof風險管理軟件公司的CISO兼IEEE高級成員Kayne McGladrey表示,公司應制定數據保護和隱私政策,以確保遵守數據保護法律并保護個人數據。
這應包括數據收集、處理和保留指南,政策執行機制,數據存儲和傳輸的安全控制,以及數據泄露響應程序。
此外,企業需要數據保留和處置政策,以建立保留和安全處置數據的指南。
這應包括基于數據分類的數據保留時間表,安全處置不再需要用于合法商業目的的數據的程序,符合數據保留的法律和法規要求,以及數據處置活動的文檔和審計記錄。
事件響應政策
當發生任何類型的泄露或其他攻擊時,安全團隊需要做好快速響應的準備。反應時間的長短可能決定了是在攻擊造成損害之前阻止它還是遭受重大影響。
McGladrey表示,事件響應政策概述了管理和響應網絡安全事件的方法。
這應包括定義什么構成事件,事件響應團隊的角色和責任,事件檢測、分析、遏制、根除和恢復的步驟,強制報告窗口和報告機構的聯系信息,以及事件后的審查和改進過程。
事件響應可以作為信息安全政策的一部分,該政策建立了管理和保護公司信息資產的框架。McGladrey表示,這應包括信息安全的目標和范圍、與信息安全相關的角色和責任、一般安全原則和實踐。
混合和遠程訪問政策
疫情永久改變了工作模式,現在員工通常至少部分時間在家或其他遠程地點工作。混合/遠程模式可能會長期存在,并帶來一系列安全挑戰。
在遠程訪問的常見風險中,擴展的攻擊面、不遵守數據隱私法規、更容易受到網絡釣魚和其他攻擊,以及訪問企業系統和數據時設備和網絡安全性不足是較為普遍的風險。
企業需要制定有關遠程數據訪問的政策。肖大學的CIO Leon Lewis表示,遠程訪問已經從下班后的系統管理工具發展成為過去五年中各行業現代運營的關鍵方面。在數字時代,為了實現企業目標,信息、軟件和設置必須易于訪問。
今天的企業必須在網絡安全和可訪問性之間取得平衡。由于金融服務、醫療保健等領域的法規增加,以及全球范圍內數據隱私和保護法律的出現,這項任務變得困難。Lewis表示,通過遵循嚴格的安全協議,企業可以保護其基礎設施并鼓勵創新。
無論是教育領域的學生和教職員工,醫療保健領域的患者和醫療專業人員,還是企業世界中的客戶和員工,滿足利益相關者日益增長的需求需要安全的遠程訪問。Lewis說:“為了提供高質量的服務和遵守法律,必須在可訪問性和數據保護之間取得平衡。”他說:“安全性和可訪問性有助于下一代專業人士的成功和繁榮。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號