保護企業免受最新網頁威脅的危害,是您越來越重要的責任。外部攻擊威脅、內部信息泄漏風險、網絡濫用等等,都可能危及您的企業體質、損害您的商譽,所以,您要如何保護您的企業呢?趨勢科技在此提供了 10 大秘訣,教您如何保護珍貴的資料,預防各種威脅。
1) 在威脅進入您的企業之前便預先攔截
您不會將您的身分證字號印在傳單上四處散發,您也不會請網絡犯罪者幫您規劃財務。但是,如果您未好好保護您的電腦,并且安裝適當的安全防護,就有可能發生上述情況。
根據華爾街日報 (Wall Street Journal) 的報導:“黑客已經開始將攻擊目標從跨國性企業擴大到任何會儲存電子化資料的企業。現在,那些逐漸開始采用電腦化系統與數位記錄的小型企業,已經成為黑客的主要目標”。
以下是幾個可以讓您防止惡意程序與其他威脅滲透或損害您電腦與網絡的一些簡單步驟:
采用防火墻 - 大多數的網絡路由器都內建了防火墻 (所以,別忘了啟用)。但是,面對今日惡意程序的復雜性,光一套防火墻是不夠的。
采用云端安全防護來保護您的電腦 - 為了防范日新月異的威脅,您需要一套建置在云端的安全防護,如此,只要一套解決方案就能防止身分竊盜、危險網站、黑客攻擊,同時又不影響電腦效能。
看得見才能保護 - 選擇一套能協助您掌握所有業務電腦、服務器,甚至是移動裝置使用者的解決方案,全部整合至單一主控臺。
方便移動裝置使用者 - 在今日的移動化世界當中,當員工進出辦公室時,裝置上的安全防護應該要能自動偵測并且將設定切換至最適當的等級。
清除SPAM 垃圾郵件- 云垃圾郵件解決方案可在郵件進入您的企業之前就預先過濾掉不請自來的電子郵件,同時可封鎖風險、避免員工分心。
2) 為您的企業制定一套安全政策
您是否認為您的企業太小,黑客看不上眼?很不幸地,小型企業因為 IT 資源有限,反而是黑客眼中容易下手的目標。因此,您務必建立一套容易更新、容易宣導、也容易貫徹的安全政策。
以下是您安全政策應該包含的重點:
詳列軟件使用限制 - 明確列出哪些是公司電腦允許安裝的軟件,哪些則禁止。
要求采用高強度的密碼 - 請參閱第四點有關密碼的秘訣。
詳列電腦使用限制 - 明確列出哪些個人用途是允許的,例如:個人信箱、社交網絡等等。
宣導正確的電子郵件使用方式 - 制定內部與外部通訊原則,說明哪些文件/檔案可以或不可開啟或轉寄。
考慮采用加密 - 決定是否采用一套電子郵件加密系統來保護您的敏感資料,并且決定使用時機。
指派一位安全政策主管 - 當員工有任何關于安全政策或一般電腦安全問題時,需要有人可以咨詢。
強制貫徹 - 要有心理準備當有人違反政策時該如何強制貫徹。
[page]
3) 建立社交網絡/媒體使用原則
Facebook、Twitter 和 LinkedIn 這類的社交網絡已是大勢所趨,因此,請務必讓員工具備一些最佳使用原則的觀念。以下是一些可讓您企業降低社交媒體風險的方法:
清楚定義所謂的機密 - 將 Facebook、Twitter、LinkedIn 等等社交/群網站列入您的安全政策及機密信息保密合約當中。
提供清楚且容易遵守的原則 - 員工需要知道哪些信息可以張貼在社交媒體上,以及可張貼的人員為何。這些原則應包含下列幾項:
為了符合倫理道德,所有員工都應表明自己是您公司的員工或受聘人員。
提醒客戶只透過電子郵件或個人訊息傳送個人信息,讓客戶知道可以到哪里詢問有關機密信息的相關問題。
使用像 SocialMedia.org 這樣的資源來建立您的使用原則并進一步認識社交媒體。
積極參與社交活動 - 但也要有智慧:
視您的企業目標而定,僅發布一些您放心讓大眾廣為流傳的信息。
限制員工在線上公開的個人信息。
避免點選來自不明人士的連結。
4) 使用高強度密碼
不論您喜歡與否,大多數的小型企業網絡都是使用密碼來保護,因此,密碼是保護您企業網絡的關鍵。您不需成為統計專家就能理解,密碼的字數越多,密碼的強度就越強。以下是建立高強度密碼的原則:
一開始就使用高強度密碼 - 要求使用 8 至 15 個字元并且包含數字和符號組合的密碼,以防止他人輕易猜到密碼。
定期更換密碼 - 要求每 6 個月更換一次密碼。
妥善保管密碼 - 將密碼寫下來、將密碼儲存在手機,或者使用容易猜測的密碼,都會讓公司處于危險當中。員工應該建立自己能記得住而他人卻無法猜到的密碼。
使用無意義的密碼 - 使用隨機字母、數字與特殊符號組合的密碼強度最高。例如:!q2w3e4 或其他的隨機組合。
5) 嚴肅看待網絡安全
網絡是一種強大的商業工具。但是,如果您的信息安全解決方案無法主動掃瞄內容、追蹤惡意程序,并且警告您其他潛在問題,那么網絡就會變成惡意程序的來源。請務必選擇能協助您應付最新威脅、又不會讓員工分心的網絡安全解決方案。為了讓員工維持生產力,您的解決方案應該要能:
自動更新 - 別指望員工會隨時記得保持安全并注意自己存取網絡或上網的地點和時間。不論對企業內部人員或遠端的員工、甚至是使用移動裝置的人員來說,自動更新都能讓信息安全方案在背后自動運作。
防止不當的網絡使用習慣 - URL 過濾可全面 (或者在上班時間) 禁止員工存取非生產力相關的網站,而且,這類過濾還可封鎖一些危險的連結,保護您的企業。
6) 尋求員工的配合
大家對于大型個人信息泄漏 (DLP) 事件登上報紙頭條已經司空見慣,但是您知道嗎?將近 80% 的信息泄漏事件都是人為因素造成。這是事實,而且原因不外乎是員工將機密或敏感的信息寄錯了人,或者只是未使用安全的方法寄送。
教大家認識風險 - 由于法規日益嚴格,個人信息泄漏 (DLP) 與意外泄漏的后果越來越嚴重。請教導員工認識法規的要求,以及保護企業信息的最佳實務原則。教大家認識違反法規的風險,讓他們知道如何小心謹慎、降低風險。
別低估個別員工對信息安全的影響 - 如果員工關閉了掃瞄,或者發送不當的內容,那么,企業就可能面臨惡意程序、訴訟與商譽損失等風險。
確實保密 - 讓所有員工都了解機密信息與可公開信息的差別。此外,確實強調機密文件或信息泄漏 (DLP)的嚴重后果。
7) 建立有效的經銷商/顧問關系
與 IT 產品經銷商/顧問建立良好關系,您就隨時擁有可信賴的諮詢對象可提供您 IT 相關問題的意見。
尋求建議 - 您的經銷商或顧問應該協助您挑選適合您企業的解決方案,不僅要隨您的需求而成長,而且要能保障您的 IT 投資。
委外管理 - 您的經銷商或顧問甚至可以從遠端幫您管理信息安全解決方案,這表示您可省下許多麻煩,又能獲得更好的防護。
8) 以身做則
如果您是一位主管,請以身做則,為企業內的其他人樹立模范。建立一個種重視信息安全的小型企業文化,是邁向信息安全的一大步:
成為代言人 - 如果您聽到任何新的威脅,或者有任何預防建議,請和大家分享您的最佳安全實務。
有智慧地分享 - 在與他人分享信息之前,請務必確認內容是否來自可靠來源。只要一位使用者散發了一封病毒郵件,就足以讓整個企業遭殃。
9) 讓信息安全隨時保持更新
您的個人電腦、服務器和移動裝置是否擁有業界最佳的威脅情報?手動或不常更新的信息安全軟件,會讓您的門戶洞開。常言道,您的安全狀態只到上一次更新為止。但是,如果您采用云端式平臺,那么所有更新都會自動在云端完成。
采用代管式解決方案 - 傳統的安全解決方案可能會降低您的電腦效能。您可以選擇讓供應商的資料中心為您服務。代管式方案使用的是廠商的資料中心,因此,您的電腦與服務器資源可省下來專心應付業務需求。
別再使用舊式防毒軟件 - 傳統的防毒軟件是采用特征比對的方式來偵測惡意檔案,因此每臺電腦上都必須安裝所謂的「指紋」或「特征」檔案。但由于威脅的繁衍速度驚人,不斷更新特征檔案將拖慢您的電腦速度。而新的解決方案會檢查電子郵件寄件人、檔案及網站的信譽,非但不會拖慢您的電腦,還能提供更好、更快的防護。
自動化作業系統更新 - 讓您電腦的安全修補程序越簡單越好。您作業系統的漏洞,是黑客的一大助力。因此請確保這類更新能快速自動部署。
要求并檢查是否確實套用修補程式 - 提供詳細的信息讓您的使用者了解他們所需使用的軟件版本,以及如何查看自己的版本。提供連結并說明如何更新至正確版本。使用者一旦發現您非常認真看待這件事,他們自然較愿意配合。
10) 選擇一個信息安全伙伴,而非只是一家廠商
選擇熟悉小型企業環境獨特信息安全需求的廠商。
選擇一家信息安全廠商 - 看看您的廠商是否以信息安全為主要核心業務,或者只是提供信息安全附加元件而已。
查看廠商過去的實績 - 在對抗各種不同威脅方面享有盛名、而且在小型和大型企業都有實際經驗的廠商,才能提供最佳的防護。
京公網安備 11010502049343號