一般認為,員工數量在500名以內的小企業構成了美國公司構成的絕大多數,他們成為了美國經濟的一個重要組成部分。而他們的客戶自然希望個人和財務信息是保密的,而數據被破壞對于小企業而言無疑是一個痛苦且成本昂貴的考驗。像大企業一樣,小企業接受付款卡也必須遵循支付卡行業規則。而這對于某些甚至可能連IT部門都沒有的小企業來說,如何解決網絡安全問題可謂是一項相當艱巨的任務。
如下將介紹十大貼士,可以幫助小企業開始維護他們的IT安全:
1、企業管理者需要掌握最重要的數據都在何處的基本信息,無論其是在傳統的臺式機和服務器站點,或云服務和移動設備上(某些企業可能有BYOD政策)。無論這些信息是由企業內部的IT經理或是由外部技術供應商所提供的,相關的數據存儲,訪問權限和數據處理應形成規范的文檔,包括任何相關的安全控制措施。這需要企業的業務人員和技術管理人員一起有意識做出決定,最好同時遵循相關法律規定。畢竟,這些安全控制會充分涉及到相對的風險。這樣,也就為企業的備份和災難恢復計劃奠定了基礎。
2、未雨綢繆的為糟糕狀況的發生做好規劃。水災,火災,地震,外賊和內部威脅,當然,還包括惡意軟件均是可能影響企業存儲數據安全性的各種因素。自動備份過程。因此,企業管理者有必要詢問其員工如果物理站點突然無法使用會如何應對的問題。企業有必要對可能出現的混亂狀況做好規劃,這種混亂狀況就算不是幾個月也至少可能持續幾周,企業還必須對其規劃進行測試,以確保其是切實可行的。
3、就當前網絡攻擊的性質對企業員工進行培訓。中小型企業往往認為網絡罪犯將會將目標瞄準那些真正的大企業,而不是他們,但這根本不是真的。網絡犯罪分子尤其喜歡將目標對準中小型企業,通過網上銀行和支付渠道實施詐騙,掏空了企業賬戶。遺憾的是,實際上,相關法律對于企業銀行賬戶資金被盜的保護甚至比普通消費者還少。銀行甚至可能在小企業的困難時期,質疑其存在安全性問題。網絡犯罪通常都是如何開始其犯罪行為的呢?在許多情況下,是由于受害人打開了帶有惡意軟件附件的電子郵件,而這種“網絡釣魚”電子郵件可以讓攻擊者滲透到網絡中。為了解決這一問題,企業可以采用垃圾郵件過濾器來嘗試捕捉釣魚電子郵件和其他垃圾郵件。但是其中仍然有一些郵件,特別是針對性很強的郵件無法被過濾。這就需要通過對員工進行培訓,不要打開任何看來不尋常的郵件。由于網絡惡意軟件也很普遍,在員工使用的互聯網上進行網絡控制也是一個好主意。大公司也已經開始使用先進的惡意軟件防護系統,可以以各種方式追蹤有針對性的攻擊,而小企業也應該這么做(如果他們負擔得起的話)。還有一個考慮設立一個專門的計算資源嚴格用于在線轉賬的有力的論據:有很多基于手機的社交詐騙,現在也非常值得員工們引起警惕。
4、部署基礎安全。這意味著企業需要部署防火墻,無線和有線訪問接入點,并在終端和服務器上安裝反惡意軟件。畢竟,傳統的基于簽名的防病毒僅僅是一種有限的防御形式。考慮采用如“白名單”等技術,以禁止電腦軟件下載。多年來,安全供應商們也坦率地承認他們往往很難針對中小企業建立起市場營銷,銷售和支持渠道,并已經試圖創建面向用戶數量少,技術含量低的基本產品版本來瞄準中小企業市場。但仍有些做法是至關重要的:必須盡可能快地嚴格修補所有操作系統和應用程序的漏洞。如果你企業在安全專業方面的人手不足,您可以通過一套安全管理服務安排尋求外界的技術支持。例如,如果發生惡意軟件爆發事故,你企業將需要專業的安全維護人員。管理者需要多讀一些這方面的文章,參加一些技術用戶小組,與業內同仁探討如何獲得外部援助。
記住,如果你的企業接受支付卡,那么,企業必須強制性的堅持PCI指南規定的數據隱私的要求,其中還包括加密敏感信息。在醫療保健行業,也需要遵守政府的HIPAA和高科技安全規則來對個人識別信息加密。在數據閑置和傳輸過程中進行加密是一個好主意。
5、當處理舊電腦和其他需要報廢的設備時,務必刪除硬盤的存儲數據,并摧毀他們。這也適用于其他類型的媒介。別忘了保護敏感信息和文件。
6、當涉及到每個個體訪問數據時,務必記錄詳細信息。這可能需要花費一些時間,但確定哪些員工或外部的商業伙伴真的需要使用網絡方面的應用程序,并確定他們做了哪些工作。保持這個記錄,并考慮使用包括密碼之外的保護措施,也許可以采用雙因素身份驗證,甚至生物識別技術。這也需要系統管理員來負責,他們的工作特性賦予了他們掌握所有使用中的信息系統的權力。安全驗證選項包括要求雙認證過程——這是美國國家安全局在發生愛德華·斯諾登泄密事件之后聲稱更有力的措施。您的企業的數據信息可能不是絕密的美國國家安全局的,但你的內部網絡,所有最關鍵的數據可能是一個系統管理員的你是否考慮一下與否的控制之下。最后,當某位雇員離職或業務安排被更改,必須立即解除其訪問權限設置。
7、正如那句老話說的那樣,信任但要核查。對即將招聘的雇員做官方背景調查,檢查其是否有犯罪史(一些公司甚至評估招聘員工的公共社會媒體歷史記錄)。當涉及到技術供應商或云服務供應商時,確保他們確實是按照簽署的合同承諾交付服務的。考慮訪問您企業準備以電子方式與之分享客戶數據的業務伙伴的數據中心業務經營站點,例如,讓他們提供他們的安全細節,備份和相關人員介紹。
8、移動智能手機和平板電腦的時代已經到來,了解其破壞性。無論您企業是否已經興起使用智能手機或平板電腦來處理業務的轉型趨勢,必須承認這一需求是存在的,它們代表了不同的安全要求。這些新的操作系統平臺的更新和控制與舊的PC和筆記本電腦的管理方法是不一樣的。雖然移動設備市場的變化是快節奏的,無論是業務人員和IT管理人員都應該運籌帷幄的管理安全選項,包括在“BYOD”情況下,某些企業允許員工使用自己的智能手機和平板電腦處理業務。這將意味著需要在業務的安全需求與個人的個人數據的使用方面進行平衡,畢竟,員工才是這些設備的擁有者。
最起碼,BYOD政策可能引發某些法律問題,因為商業數據不再直接存儲在由企業交付員工使用的設備上。移動設備管理軟件是企業通常考慮使用的管理方法,而隨之帶來的問題是是否將分割的數據移動到所謂的“集裝箱”。如果說能夠給您帶來任何一點安慰的話,大企業也都同樣在努力解決這一棘手的問題,這是作為移動性革命的一部分。沒有簡單的答案可尋。
9、不要忘記對這一切的物理訪問。應該有一種方法來防止未經授權的人員訪問商用電腦資源。這可能包括企業夜間的清潔人員。對于這些不速之客要采用禮貌但堅定的方式。
10、雖然企業可能很小,但要從大處著眼。著眼于政策。這意味著企業需要制定雇員可接受的使用政策,明確規定員工在網上的行為,數據如何被共享和限制。讓他們閱讀這些管理政策并簽字,明確是否有線上監控活動。應該對不遵守的員工行為進行處罰。但就某些員工行為的取締通常不利于鼓勵創造性思維和提高生產力,企業的在線溝通是至關重要的。因此,我們面臨的挑戰是找到正確的平衡點。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:小企業不可忽視的十大安全風險
本文網址:http://www.lukmueng.com/html/consultation/10839515682.html
相關文章
