在世界范围内,网络攻击的数量和频率呈指数级增长。虽然媒体往往关注大型跨国公司的入侵行为,但现实是,绝大多数恶意活动都针对SMB市场。由于在较小的组织中,安全流程和系统天生就比较薄弱,因此许多是黑客的主要目标。
这些后果可能会很严重。研究表明,60%的中小企业将在发生严重的数据泄露事件后的6个月内倒闭。它是绝大多数小型企业运营的核心,因此,他们采取强有力的安全措施至关重要。对于那些刚刚开始网络安全之旅的人,这里有一些顶级建议。
-
确定当前的网络安全状态
确定当前的网络安全状态
除非你承认问题的存在,否则你无法面对问题。大多数中小企业一生都不知道他们的数据存放在哪里,谁可以访问它,以及一切有多安全。
首先需要做的是进行非正式的审计,以确定您的网络安全状态。已经有哪些流程?是否有特定的弱点?召集高级领导以及其他工作人员,并开始评估这些核心数据集。
-
进行资产盘点
进行资产盘点
作为一个企业,你知道什么对你来说是有价值的。无论是客户数据,知识产权还是其他东西。开始对每一个数字资产和基础设施进行完整的盘点。只有这样,你才能确定它们的价值并相应地优先考虑它们。
-
采用框架
采用框架
一旦了解了您拥有的数据、拥有的资产和潜在的漏洞——是时候构建成为网络安全政策基础的过程了。
对于小企业来说,这可能是最令人生畏的一步。幸运的是,NIST网络安全框架帮助各种规模的企业更好地理解、管理和降低网络安全风险,以保护网络和数据。该框架是一个很好的起点,因为它为企业提供了最佳实践的大纲,帮助企业决定在网络安全保护方面将最多的时间和资金集中在哪里。
-
利用所有的工具作为你的处置
利用所有的工具作为你的处置
IT的消费化和云服务(SaaS)的扩散意味着现在可以访问曾经昂贵得令人望而却步的安全工具。中小企业应该利用这一机会,利用它们现在可以使用的所有产品。
例如,移动设备管理工具允许公司正确地管理设备及其访问的数据——即使员工使用自己的设备。生物识别与多因素身份验证结合在一起,这在短短几年前还是不可想象的,但现在已经广泛应用于笔记本电脑、手机和平板电脑。使用虚拟专用网(VPN)还可以扩展企业网络,确保远程工作或在公共热点地区工作的用户能够访问数字资产——但只能通过安全的加密隧道。任何规模的组织现在都可以使用这些工具中的每一种。
-
教育,教育,再教育
教育,教育,再教育
在网络安全方面,人为失误几乎总是最薄弱的环节。这就是为什么总是用强大的培训策略支持网络安全工具很重要。为了保证工作场所的安全,所有员工都要接受良好的教育,了解每一种可能的威胁。
员工越投入,培训就越有效——所以要想办法抓住他们的注意力。例如,尝试让员工接触越来越复杂和难以察觉的模拟攻击,以保持他们的警觉和参与。这种教育造就了善于发现攻击的员工队伍——包括包含紧急标题的可疑邮件、与账单相关的虚假附件,以及其他旨在欺骗员工的社会工程。