盡管如此,網絡安全攻擊仍在繼續。更為糟糕的是,網絡犯罪分子經常針對明顯或基本的載體和漏洞。僅是2019年7月,就有很多這樣的事例:比如數百萬條記錄在亞馬遜數據庫中被泄露,還有來自學區的用戶和員工記錄被軟件漏洞暴露,再比如足球迷的財務信息被不法分子竊取等。
建立和管理強有力的安全戰略是至關重要的。企業必須知道風險在哪里并解決一切可行性問題,此外還需要不斷的監測變化。
制定成功的網絡安全戰略的第一個階段是確保整個組織的全面參與,這不僅是一種共識,也是一種意識。建立或更新安全策略將對業務和技術方面產生一定影響。網絡安全需要被整個企業所理解,以便將其視為公司的業務推動者和競爭優勢,而不是阻礙因素。將關鍵決策者排除在外,可能會減緩采納速度。
策略一:考慮使用外部資源來支持設計安全策略。
沒有必要將整個項目外包,因為這可能引起內部的不滿。但是,安全顧問的技能和知識能夠提供關鍵的專業知識和經驗,因為他們熟悉一系列組織安全需求和挑戰,可以幫助加速項目并確保不忽視組織特定的考慮因素。
一旦達成協議,似乎是開始項目的合適時機,但是一定要等待。定義組織安全策略的下一步實際上是退后一步,與區域領導坐下來了解他們每天的工作,包括使用哪些系統,存儲數據的位置以及第三方和供應鏈與企業交互。
理想情況下,需要完成完整的軟件審計。至少,企業需要了解正在使用的內容,使用者以及更新的頻率。這需要時間,而且不是一件小事。但請記住,許多漏洞都會由于基本的安全性失誤而發生,所以這個階段非常值得投資,以確保為組織設計正確的安全策略。
策略二:值得記住的是,雖然IT有一個正在使用的軟件列表,但它并不詳盡。
部門在IT職權范圍之外購買和管理軟件是很常見的。這些工具被稱為影子IT,在正常業務的監視下運行。為了實現成功的安全策略,必須標識、審計這些項目并將其納入內部IT團隊的職權范圍。
在每個人都了解項目影響并且很清楚需要保護、更新或退役哪些內容的時候,項目就可以開始了。業務和流程的發生方式會發生變化,這意味著一些員工可能會進行抱怨,IT團隊可能會接到越來越多支持部門的呼叫。盡管存在暫時的不便,但安全策略管理應該成為一個定期和持續的過程,一旦完成,就會對軟件、設備和風險進行定期審計。沒有這個持續的組成部分,所有的努力工作都將失去價值。此外,如果發生違規行為,理解和糾正事件所需的工作量將大幅增加。
策略三:考慮將持續的用戶教育作為安全策略的一部分。
許多安全策略在很大程度上都取決于員工,因此有必要創建一個安全培訓計劃來教育用戶使用強密碼,如何識別虛假網站以及及早發現網絡釣魚/魚叉式網絡釣魚電子郵件的信息。
創建和維護一個成功的安全策略不是一項簡單的任務,但是有了正確的支持和外部資源,則不一定是負面的體驗。事實上,有了更安全的數據訪問和更好的教育用戶,最終結果將會使業務更加強大,能夠在當今的數字和基于云的世界中取得成功。
京公網安備 11010502049343號