企业网络安全合规的九个步骤

勒索软件、网络犯罪、人工智能黑客、高仿换脸变声……这些话让所有计算设备的用户心生恐惧,但是许多小企业却并未实施足够的网络安全方法,以便来保护企业数据免受网络攻击。对此,昆明亭长朗然科技有限公司网络安全专业人员董志军表示:很多中小企业的老板和经理们是业务专家,然而并不是IT专家,即使知道一些IT的重要性,也局限于业务流程方面,对于网络安全几乎是没有任何经验和方法,而竞争激烈的大多数中小企业显然又没法吸引网络安全专业人员加盟的兴趣,就是现有的IT管理员往往也是力量薄弱,和财大气粗的大型企业和政府机关相比,也没几个预算来搞网络安全工程项目。

所以,作为良心的网络安全企业,有必要考虑到中小企业的困难,为其提供技术和管理方面的帮助,特别是实施网络安全计划的最佳实践。我们并不是指搞一些免费的杀毒软件,这些业内已经有一些“羊毛出在猪身上”的做法,尽管多数网络安全专家对此嗤之以鼻,但是谁也没法打破这些僵局。

网络安全与黑客方面的头条大新闻不断刷新历史,黑客攻击致使超过数亿人的个人数据遭受泄露,并通过难以监管的P2P、暗网等渠道传播。有些行业面临着独特的挑战,一些欺诈者炮制很多场景,入侵对方的电子邮件、窃取邮箱、假借身份要求支付款项到另一账号,给很多贸易型企业造成了数百万甚至数千万的损失。对此,专家称:随着技术不断渗透到我们的生活,从联网汽车到交易中的区块链技术,再到云计算的增长,技术将为企业带来新的风险。

企业不仅需要跟上新技术,还需要应对每一项新技术发展带来的风险。与保护计算机防止病毒等恶意程序破坏,需要强化防病毒技术相比,新时代网络安全更多需要的是管理,实施安全程序的关键一步是创建数据安全程序、更新安全政策。国家出台了不少法令,对未能保护消费者个人信息数据的企业采取执法行动。对此,董志军补充说:为了帮助企业保持国家安全及消费者的个人数据安全,国家出台了《网络安全法》、《数据安全法》和《个人信息保护法》,并且细化了很多可执行的数据保护实践指南。

即使算不上国家的领导干部,中小企业的管理者们也是时间金贵,让我们简要说一说如何能够快速达到合规。先说一个问题,有人可能会说,国家的数据安全保护相关法律还看不到中小企业,或者说执法时会有选择性的差异,也会考虑实际,不会重点关注非关键信息基础设施领域,这是有道理,但是不要大意,消费者隐私意识觉醒,中小企业本身就不容易,再面临客户丢失甚至受到诉讼的风险?

第一步是一个关键原则,就是搞出来数据安全或隐私保护政策,其中安全注意事项指导并告知用户数据收集实践。有人说根本没有什么人会去看那些文字,如同使用协议一样的,点“接受”或“同意”就过去了。这人就是不懂,那是法律条款,你接受了,就表示同意了,相当于一个微型的合约就达成了,不出事儿倒好,出事儿了,有合约在,权利才能得到保障,即使是电子记录形式的合约。

第二步,包括中小企业在内的所有机构,都应仅收集相关的个人信息,并仅在需要时保留这些信息,并制定销毁不必要数据的流程。这要说到做到,有章法可以向监管机关展示,有执行记录可以做证明,就是大道昭昭,合规守法经营,黑帮也不敢惹你,鬼都不敢上身。

第三步,明智地控制对数据的访问。当网络上有敏感数据(例如工资或客户订单、联系信息)时,请仅允许需要使用这些信息的人访问。控制谁可以访问所有类型的信息,刚入职的新员工,在还不够稳重可靠时,不要马上给他/她访问这些数据的权限。

第四步,需要安全密码和身份验证,大多数黑客通过坏密码或弱密码破坏网络。确保用户创建强密码(现在建议使用长短语)并将所有密码保存在安全位置。这个安全位置,通常指的是大脑,或者密码管理器,不是随意写在纸条上,贴出去,或者写在博客网站里可供世界上任何人查看。

第五步,安全地存储敏感的个人信息并在传输过程中对其进行保护。如果需要传输数据,请确保使用经过验证的安全方法,例如加密,这是必须的,WEB不搞SSL证书、邮箱不弄个TLS/SSL支持(HTTPS、SMTPS、IMAPS协议),现在就没法混电子商务,因为黑客会通过网络窃听未加密的明文密码和信息。

第六步,分割工作网络并监控网络进出流量。没必要过于限制员工们个人的互联网访问权限,但是得防万一出现网络安全问题,警察来要访问记录并进行查案。此外,对内部关键数据的访问,关系着业务生存和发展,只给各部门人员他们需要访问的网络权限。例如,销售人员应无法访问公司的财务数据或其他销售人员的帐户。分割网络访问有助于限制违规造成的损害。

此外,强化安全远程访问也很必要,架设VPN太容易了,而且保护在外人员安全的效果非常好,可以确保远程访问网络的每个人都拥有强大且安全的连接,因为只需一个容易发生数据泄露的点,即可让整个公司受到重大损失。在外工作的人员经常性的,也会越来越多地使用智能手机,一不小心连接到开放式无线网络,如果没有VPN的话,可能导致数据轻易泄露。

第七步,在开发新产品时应用健全的安全实践,此步骤是企业在开发自己的软件产品(例如应用程序)时应采用的标准策略。当然啦,有不少中小企业是将这些软件开发外包的,那就要确保服务提供商实施合理的安全措施,对于经常依赖供应商存储其数据的小型企业来说,这是非常重要的措施,提出这项,会让服务供应商另眼相看,重视数据安全。

确保供应商通过测试他们的合规性来正确保护数据,并在合同中加入要求供应商保持一定安全级别的条款。谁不想等到出现数据泄露时才发现供应商没有采用良好的安全措施,这不仅是责任的归属问题,更是在危难之时保障自身权利的必备!

第八步,制定程序以保持安全最新并解决可能出现的漏洞,保持软件最新,启用防恶意软件程序,这是个安全管理最基本的实践,也是IT安全必备技能,因为系统安全更新对于保护网络和数据安全很重要。

第九步,保护纸张、物理介质和设备,这些比较传统的信息容易被电子时代的管理者们所忽略,比如打印出来的合同、订单、发票自留页等,别大意,大型机构有保密部门,中小企业就用与保护电子数据相同的步骤保护其他形式的载体。所有的信息都需要以安全的方式存储,当业务目的结束时,应丢弃不需要的信息。当然啦,使用WIKI或更为良好的文档管理系统将帮助跟踪所有数据,包括非电子格式的数据。

总之,信息安全不仅仅是政策、程序、标准和指南,还包括对合规审计或行业要求的回应。对于大多数员工来说,这是一个需要进行文化变革的业务流程。在要求任何人遵守安全措施之前,他们必须首先了解需求和流程。这是一个持续的过程,从新员工入职培训开始,一直持续到离职后的离职面谈。它必须至少每年进行一次,并包括定期提醒。

信息安全意识不需要庞大的预算。但是,它确实需要花费管理者和员工们一些时间。对于管理者来说,在实施上述安全程序(步骤)之前,您必须将其应用给自己,然后向全员进行推广,其中的沟通涉及意识计划,必须使用理性和逻辑的声音。从小处着手并扩展。当员工意识到有一个安全计划时,它已经成为文化的一部分。昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com