企业网络安全合规的九个步骤

勒索软件、网络犯罪、人工智能黑客、高仿换脸变声……这些话让所有计算设备的用户心生恐惧,但是许多小企业却并未实施足够的网络安全方法,以便来保护企业数据免受网络攻击。对此,昆明亭长朗然科技有限公司网络安全专业人员董志军表示:很多中小企业的老板和经理们是业务专家,然而并不是IT专家,即使知道一些IT的重要性,也局限于业务流程方面,对于网络安全几乎是没有任何经验和方法,而竞争激烈的大多数中小企业显然又没法吸引网络安全专业人员加盟的兴趣,就是现有的IT管理员往往也是力量薄弱,和财大气粗的大型企业和政府机关相比,也没几个预算来搞网络安全工程项目。

所以,作为良心的网络安全企业,有必要考虑到中小企业的困难,为其提供技术和管理方面的帮助,特别是实施网络安全计划的最佳实践。我们并不是指搞一些免费的杀毒软件,这些业内已经有一些“羊毛出在猪身上”的做法,尽管多数网络安全专家对此嗤之以鼻,但是谁也没法打破这些僵局。

网络安全与黑客方面的头条大新闻不断刷新历史,黑客攻击致使超过数亿人的个人数据遭受泄露,并通过难以监管的P2P、暗网等渠道传播。有些行业面临着独特的挑战,一些欺诈者炮制很多场景,入侵对方的电子邮件、窃取邮箱、假借身份要求支付款项到另一账号,给很多贸易型企业造成了数百万甚至数千万的损失。对此,专家称:随着技术不断渗透到我们的生活,从联网汽车到交易中的区块链技术,再到云计算的增长,技术将为企业带来新的风险。

企业不仅需要跟上新技术,还需要应对每一项新技术发展带来的风险。与保护计算机防止病毒等恶意程序破坏,需要强化防病毒技术相比,新时代网络安全更多需要的是管理,实施安全程序的关键一步是创建数据安全程序、更新安全政策。国家出台了不少法令,对未能保护消费者个人信息数据的企业采取执法行动。对此,董志军补充说:为了帮助企业保持国家安全及消费者的个人数据安全,国家出台了《网络安全法》、《数据安全法》和《个人信息保护法》,并且细化了很多可执行的数据保护实践指南。

即使算不上国家的领导干部,中小企业的管理者们也是时间金贵,让我们简要说一说如何能够快速达到合规。先说一个问题,有人可能会说,国家的数据安全保护相关法律还看不到中小企业,或者说执法时会有选择性的差异,也会考虑实际,不会重点关注非关键信息基础设施领域,这是有道理,但是不要大意,消费者隐私意识觉醒,中小企业本身就不容易,再面临客户丢失甚至受到诉讼的风险?

第一步是一个关键原则,就是搞出来数据安全或隐私保护政策,其中安全注意事项指导并告知用户数据收集实践。有人说根本没有什么人会去看那些文字,如同使用协议一样的,点“接受”或“同意”就过去了。这人就是不懂,那是法律条款,你接受了,就表示同意了,相当于一个微型的合约就达成了,不出事儿倒好,出事儿了,有合约在,权利才能得到保障,即使是电子记录形式的合约。

第二步,包括中小企业在内的所有机构,都应仅收集相关的个人信息,并仅在需要时保留这些信息,并制定销毁不必要数据的流程。这要说到做到,有章法可以向监管机关展示,有执行记录可以做证明,就是大道昭昭,合规守法经营,黑帮也不敢惹你,鬼都不敢上身。

第三步,明智地控制对数据的访问。当网络上有敏感数据(例如工资或客户订单、联系信息)时,请仅允许需要使用这些信息的人访问。控制谁可以访问所有类型的信息,刚入职的新员工,在还不够稳重可靠时,不要马上给他/她访问这些数据的权限。

第四步,需要安全密码和身份验证,大多数黑客通过坏密码或弱密码破坏网络。确保用户创建强密码(现在建议使用长短语)并将所有密码保存在安全位置。这个安全位置,通常指的是大脑,或者密码管理器,不是随意写在纸条上,贴出去,或者写在博客网站里可供世界上任何人查看。

第五步,安全地存储敏感的个人信息并在传输过程中对其进行保护。如果需要传输数据,请确保使用经过验证的安全方法,例如加密,这是必须的,WEB不搞SSL证书、邮箱不弄个TLS/SSL支持(HTTPS、SMTPS、IMAPS协议),现在就没法混电子商务,因为黑客会通过网络窃听未加密的明文密码和信息。

第六步,分割工作网络并监控网络进出流量。没必要过于限制员工们个人的互联网访问权限,但是得防万一出现网络安全问题,警察来要访问记录并进行查案。此外,对内部关键数据的访问,关系着业务生存和发展,只给各部门人员他们需要访问的网络权限。例如,销售人员应无法访问公司的财务数据或其他销售人员的帐户。分割网络访问有助于限制违规造成的损害。

此外,强化安全远程访问也很必要,架设VPN太容易了,而且保护在外人员安全的效果非常好,可以确保远程访问网络的每个人都拥有强大且安全的连接,因为只需一个容易发生数据泄露的点,即可让整个公司受到重大损失。在外工作的人员经常性的,也会越来越多地使用智能手机,一不小心连接到开放式无线网络,如果没有VPN的话,可能导致数据轻易泄露。

第七步,在开发新产品时应用健全的安全实践,此步骤是企业在开发自己的软件产品(例如应用程序)时应采用的标准策略。当然啦,有不少中小企业是将这些软件开发外包的,那就要确保服务提供商实施合理的安全措施,对于经常依赖供应商存储其数据的小型企业来说,这是非常重要的措施,提出这项,会让服务供应商另眼相看,重视数据安全。

确保供应商通过测试他们的合规性来正确保护数据,并在合同中加入要求供应商保持一定安全级别的条款。谁不想等到出现数据泄露时才发现供应商没有采用良好的安全措施,这不仅是责任的归属问题,更是在危难之时保障自身权利的必备!

第八步,制定程序以保持安全最新并解决可能出现的漏洞,保持软件最新,启用防恶意软件程序,这是个安全管理最基本的实践,也是IT安全必备技能,因为系统安全更新对于保护网络和数据安全很重要。

第九步,保护纸张、物理介质和设备,这些比较传统的信息容易被电子时代的管理者们所忽略,比如打印出来的合同、订单、发票自留页等,别大意,大型机构有保密部门,中小企业就用与保护电子数据相同的步骤保护其他形式的载体。所有的信息都需要以安全的方式存储,当业务目的结束时,应丢弃不需要的信息。当然啦,使用WIKI或更为良好的文档管理系统将帮助跟踪所有数据,包括非电子格式的数据。

总之,信息安全不仅仅是政策、程序、标准和指南,还包括对合规审计或行业要求的回应。对于大多数员工来说,这是一个需要进行文化变革的业务流程。在要求任何人遵守安全措施之前,他们必须首先了解需求和流程。这是一个持续的过程,从新员工入职培训开始,一直持续到离职后的离职面谈。它必须至少每年进行一次,并包括定期提醒。

信息安全意识不需要庞大的预算。但是,它确实需要花费管理者和员工们一些时间。对于管理者来说,在实施上述安全程序(步骤)之前,您必须将其应用给自己,然后向全员进行推广,其中的沟通涉及意识计划,必须使用理性和逻辑的声音。从小处着手并扩展。当员工意识到有一个安全计划时,它已经成为文化的一部分。昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

数据安全法对企业员工的影响及对策

随着《网络安全法》、《数据安全法》、《个人信息保护法》的实施落地,组织机构存储、管理和处理重要及个人数据的方式必将引来一步一步的变化。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:即使是中小企业,也不要想着能够躲避或者获得一定的豁免,请牢记,只要处理的数据量达到一定的级别,必将受到法规要求的影响,也必将面临着安全行为的改变。

有些大型互联网企业游走于法规的灰色边界,精于钻空洞搞些小动作,他们深知法律一时拿他们没办法,就肆意妄为。当然聪明一点的也知道法律的解释权何在,知道在接近红线的时候及时收敛,知道法规虽然总是会慢半拍但是迟到的雷霆治理往往带来深重的教训。大道至简,法规的精神不是一时涌现出来的,组织机构其实有很长的时间,可以采取很多的步骤才能实现合规性,以做好风险控管。今天我们想重点聊一聊数据安全相关法规的逐步落实,会对公司企业特别是全体员工带来哪些实际工作中的影响,以及该如何应对。

在公开场所处理重要数据

移动化工作使得不少人可以在咖啡厅、酒店大堂、飞机高铁上花上10来分钟来完成一些重要项目的方案,但是您知道,身边有人在偷偷看着么?如果被人偷拍举报,后果将是怎样?

切记:如果文档是机密的,请仅在他人无法窥探的地方进行处理。同叶,考虑启用公司的VPN软件连接,以保护进出计算设备的流量获得了加密。

在电脑桌面上存储敏感文件

计算机桌面是我们许多人的默认下载位置,这虽然利于快速找到,但是也通常意味着大量敏感文件散落在桌面上,不管是网络会议共享桌面,还是有人路过看了一眼,都可能对重要文件造成威胁。

切记:时刻留意文件的安全级别,特别是机密性,防止将敏感文档留存在其他人可以轻松访问的位置。

留存于会议白板或打印机托盘上的信息

包括战略决策的会议记录经常被留在会议白板上,甚至被打印出来,如果它们落入了员工或企业以外的错误人员手中,后果无疑将是可怕的。

切记:数据并非仅仅限于电子格式的信息,在电子时代,更应该提防传统的失密泄密渠道。

借助明文向外发送的电子邮件附件

电子邮件中包含的纯文本(无论是正文、主题行还是附件)都可能被有足够技能和欲望的人拦截,这是因为电子邮局间使用明文的SMTP协议所致,因此,使用电子邮件明文发送机密的数据,无疑会使企业面临数据失窃或泄露的风险。

切记:始终使用公司批准的加密文件方案或受密码保护的云存储服务来传输机密数据。

通过共享网络驱动器或云存储进行文档协作

如果依靠共享网络驱动器或如金山文档、腾讯文档、问卷星等“野路子”的云存储或协作平台与四壁之外的同事或人员协作,那么您无疑是在无条件信任并赋予平台对文档的读取权。

切记:我们所有的工作相关文档,只能够在安全环境中与他人协作,未加密的共享网络驱动器或者“野路子”的云存储或协作平台,让我们失去对文档的控制,也让数据的机密性不保。

数据处理是个技术活儿,也是个习惯性使然,要养成良好的安全行为习惯,提升员工教育必不可少。据统计,我们中的大多数人都曾在无意中犯过上述这些疏忽行为中的至少一项,随着相关法规的落地实施,安全风险将逐渐增加,提高警惕至关重要。

是时候让员工们了解数据的安全性,以确保他们不会留下机密信息或将包含重要数据的文件随意处理。昆明亭长朗然科技有限公司创作了大量的信息安全意识教程,包括上述各种合规主题在内的安全意识动画视频、电子图片和电子课件,此外,我们还有专门的法规科普教程,欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898