典型的网络安全错误
中小型企业在发展成为一家成熟企业的过程中,可能会犯哪些网络安全错误?
给予员工过多的访问权限
通常来说,当中小型企业员工需要访问公司资源或服务时,他们会立即获得管理员权限。共享这些访问权限的人通常认为,在不了解特定员工的真正需求及其职责的情况下,一次性授予对所有内容的访问权限要比每周授予新的访问请求更容易。但是,员工拥有的访问权限越多,出错的可能性就越大。如果企业想最大限度地减少网络事件的数量,每个工作流参与者应该只拥有其任务所必需的访问权限。
缺乏信息存储规则
一般来说,这对任何企业都是不利的。但在创业公司,由于存在员工高流动率问题,企业可能会在某一天根本找不到重要的工作文件。它们很可能存在于某个地方,但究竟在哪里却无从得知。也许会有开发人员或营销实习生曾经知道这件事,但他们可能在没有告知任何人的情况下就离开了公司。
密码管理混乱
另一个常见问题是遗忘了企业社交网络或其他很少使用的服务密码。也许一位新员工建立了Facebook或LinkedIn账户来帮助企业推广业务,但未能与其他员工分享账户信息,就匆匆离职或转岗担任另一个角色——登录凭据已经消失,几乎没有恢复的机会。
有些企业可能会认为,在员工高流动率的情况下,使用共享账户可能是个好主意。但是,知道密码的人越多,由网络钓鱼、疏忽或恶意意图而发生数据泄露的可能性就越大。此外,当安全事件发生时,它会极大地增加企业对事件调查的难度。
另一个与密码相关的错误是,企业将某个文件存储在云中,这意味着任何知道该链接的人都可以访问它。这样做的明显好处是,将必要的信息非常方便地传递给所有员工。然而,这样的文档可以被搜索引擎索引。换句话说,包含企业所有密码的文件可能会落入坏人之手。
身份验证不足
如果中小型企业没有忽视工作账户的双因素身份验证,那么与密码相关的一些问题就不会那么危险了。双因素身份验证使企业可以保护重要数据免受各种侵害,例如网络钓鱼。目前看来,首先需要进行双重防护的是金融行业。
应对网络威胁的建议
中小型企业避免犯“典型”错误,请尝试遵循以下建议:
- 在授予员工对资源或服务的访问权限时,应该遵循最小权限原则。也就是说,员工必须拥有最低限度的访问权限——仅足以执行他们的任务;
- 准确了解中小型企业的重要信息存储在哪里,以及谁有权访问它。由此,在雇用新员工时制定指导方针,包括明确定义每个员工需要哪些账户,以及哪些账户应该仅限于某些角色;
- 成熟的企业网络安全文化有助于防范网络威胁。例如,可以从为员工创建网络安全手册开始,以便每个人都能保持认知同步;
- 所有密码都必须存储在安全的密码管理器中。这将帮助员工不会忘记或丢失它们,并最大限度地减少外人访问企业账户的机会。此外,还应尽可能使用双因素身份验证机制;
- 建议员工在离开办公桌时锁定计算机,应该让员工记住办公室可以被各种第三方访问,包括快递员、客户、分包商或求职者等;
- 考虑安装防病毒软件以保护设备免受病毒、木马和其他恶意程序的侵害。
原文链接:
https://usa.kaspersky.com/blog/startup-cybersecurity-mistakes/26135/