一般認為,員工數(shù)量在500名以內(nèi)的小企業(yè)構成了美國公司構成的絕大多數(shù),他們成為了美國經(jīng)濟的一個重要組成部分。而他們的客戶自然希望個人和財務信息是保密的,而數(shù)據(jù)被破壞對于小企業(yè)而言無疑是一個痛苦且成本昂貴的考驗。像大企業(yè)一樣,小企業(yè)接受付款卡也必須遵循支付卡行業(yè)規(guī)則。而這對于某些甚至可能連IT部門都沒有的小企業(yè)來說,如何解決網(wǎng)絡安全問題可謂是一項相當艱巨的任務。
如下將介紹十大貼士,可以幫助小企業(yè)開始維護他們的IT安全:
1、企業(yè)管理者需要掌握最重要的數(shù)據(jù)都在何處的基本信息,無論其是在傳統(tǒng)的臺式機和服務器站點,或云服務和移動設備上(某些企業(yè)可能有BYOD政策)。無論這些信息是由企業(yè)內(nèi)部的IT經(jīng)理或是由外部技術供應商所提供的,相關的數(shù)據(jù)存儲,訪問權限和數(shù)據(jù)處理應形成規(guī)范的文檔,包括任何相關的安全控制措施。這需要企業(yè)的業(yè)務人員和技術管理人員一起有意識做出決定,最好同時遵循相關法律規(guī)定。畢竟,這些安全控制會充分涉及到相對的風險。這樣,也就為企業(yè)的備份和災難恢復計劃奠定了基礎。
2、未雨綢繆的為糟糕狀況的發(fā)生做好規(guī)劃。水災,火災,地震,外賊和內(nèi)部威脅,當然,還包括惡意軟件均是可能影響企業(yè)存儲數(shù)據(jù)安全性的各種因素。自動備份過程。因此,企業(yè)管理者有必要詢問其員工如果物理站點突然無法使用會如何應對的問題。企業(yè)有必要對可能出現(xiàn)的混亂狀況做好規(guī)劃,這種混亂狀況就算不是幾個月也至少可能持續(xù)幾周,企業(yè)還必須對其規(guī)劃進行測試,以確保其是切實可行的。
3、就當前網(wǎng)絡攻擊的性質對企業(yè)員工進行培訓。中小型企業(yè)往往認為網(wǎng)絡罪犯將會將目標瞄準那些真正的大企業(yè),而不是他們,但這根本不是真的。網(wǎng)絡犯罪分子尤其喜歡將目標對準中小型企業(yè),通過網(wǎng)上銀行和支付渠道實施詐騙,掏空了企業(yè)賬戶。遺憾的是,實際上,相關法律對于企業(yè)銀行賬戶資金被盜的保護甚至比普通消費者還少。銀行甚至可能在小企業(yè)的困難時期,質疑其存在安全性問題。網(wǎng)絡犯罪通常都是如何開始其犯罪行為的呢?在許多情況下,是由于受害人打開了帶有惡意軟件附件的電子郵件,而這種“網(wǎng)絡釣魚”電子郵件可以讓攻擊者滲透到網(wǎng)絡中。為了解決這一問題,企業(yè)可以采用垃圾郵件過濾器來嘗試捕捉釣魚電子郵件和其他垃圾郵件。但是其中仍然有一些郵件,特別是針對性很強的郵件無法被過濾。這就需要通過對員工進行培訓,不要打開任何看來不尋常的郵件。由于網(wǎng)絡惡意軟件也很普遍,在員工使用的互聯(lián)網(wǎng)上進行網(wǎng)絡控制也是一個好主意。大公司也已經(jīng)開始使用先進的惡意軟件防護系統(tǒng),可以以各種方式追蹤有針對性的攻擊,而小企業(yè)也應該這么做(如果他們負擔得起的話)。還有一個考慮設立一個專門的計算資源嚴格用于在線轉賬的有力的論據(jù):有很多基于手機的社交詐騙,現(xiàn)在也非常值得員工們引起警惕。
4、部署基礎安全。這意味著企業(yè)需要部署防火墻,無線和有線訪問接入點,并在終端和服務器上安裝反惡意軟件。畢竟,傳統(tǒng)的基于簽名的防病毒僅僅是一種有限的防御形式。考慮采用如“白名單”等技術,以禁止電腦軟件下載。多年來,安全供應商們也坦率地承認他們往往很難針對中小企業(yè)建立起市場營銷,銷售和支持渠道,并已經(jīng)試圖創(chuàng)建面向用戶數(shù)量少,技術含量低的基本產(chǎn)品版本來瞄準中小企業(yè)市場。但仍有些做法是至關重要的:必須盡可能快地嚴格修補所有操作系統(tǒng)和應用程序的漏洞。如果你企業(yè)在安全專業(yè)方面的人手不足,您可以通過一套安全管理服務安排尋求外界的技術支持。例如,如果發(fā)生惡意軟件爆發(fā)事故,你企業(yè)將需要專業(yè)的安全維護人員。管理者需要多讀一些這方面的文章,參加一些技術用戶小組,與業(yè)內(nèi)同仁探討如何獲得外部援助。
記住,如果你的企業(yè)接受支付卡,那么,企業(yè)必須強制性的堅持PCI指南規(guī)定的數(shù)據(jù)隱私的要求,其中還包括加密敏感信息。在醫(yī)療保健行業(yè),也需要遵守政府的HIPAA和高科技安全規(guī)則來對個人識別信息加密。在數(shù)據(jù)閑置和傳輸過程中進行加密是一個好主意。
5、當處理舊電腦和其他需要報廢的設備時,務必刪除硬盤的存儲數(shù)據(jù),并摧毀他們。這也適用于其他類型的媒介。別忘了保護敏感信息和文件。
6、當涉及到每個個體訪問數(shù)據(jù)時,務必記錄詳細信息。這可能需要花費一些時間,但確定哪些員工或外部的商業(yè)伙伴真的需要使用網(wǎng)絡方面的應用程序,并確定他們做了哪些工作。保持這個記錄,并考慮使用包括密碼之外的保護措施,也許可以采用雙因素身份驗證,甚至生物識別技術。這也需要系統(tǒng)管理員來負責,他們的工作特性賦予了他們掌握所有使用中的信息系統(tǒng)的權力。安全驗證選項包括要求雙認證過程——這是美國國家安全局在發(fā)生愛德華·斯諾登泄密事件之后聲稱更有力的措施。您的企業(yè)的數(shù)據(jù)信息可能不是絕密的美國國家安全局的,但你的內(nèi)部網(wǎng)絡,所有最關鍵的數(shù)據(jù)可能是一個系統(tǒng)管理員的你是否考慮一下與否的控制之下。最后,當某位雇員離職或業(yè)務安排被更改,必須立即解除其訪問權限設置。
7、正如那句老話說的那樣,信任但要核查。對即將招聘的雇員做官方背景調(diào)查,檢查其是否有犯罪史(一些公司甚至評估招聘員工的公共社會媒體歷史記錄)。當涉及到技術供應商或云服務供應商時,確保他們確實是按照簽署的合同承諾交付服務的。考慮訪問您企業(yè)準備以電子方式與之分享客戶數(shù)據(jù)的業(yè)務伙伴的數(shù)據(jù)中心業(yè)務經(jīng)營站點,例如,讓他們提供他們的安全細節(jié),備份和相關人員介紹。
8、移動智能手機和平板電腦的時代已經(jīng)到來,了解其破壞性。無論您企業(yè)是否已經(jīng)興起使用智能手機或平板電腦來處理業(yè)務的轉型趨勢,必須承認這一需求是存在的,它們代表了不同的安全要求。這些新的操作系統(tǒng)平臺的更新和控制與舊的PC和筆記本電腦的管理方法是不一樣的。雖然移動設備市場的變化是快節(jié)奏的,無論是業(yè)務人員和IT管理人員都應該運籌帷幄的管理安全選項,包括在“BYOD”情況下,某些企業(yè)允許員工使用自己的智能手機和平板電腦處理業(yè)務。這將意味著需要在業(yè)務的安全需求與個人的個人數(shù)據(jù)的使用方面進行平衡,畢竟,員工才是這些設備的擁有者。
最起碼,BYOD政策可能引發(fā)某些法律問題,因為商業(yè)數(shù)據(jù)不再直接存儲在由企業(yè)交付員工使用的設備上。移動設備管理軟件是企業(yè)通?紤]使用的管理方法,而隨之帶來的問題是是否將分割的數(shù)據(jù)移動到所謂的“集裝箱”。如果說能夠給您帶來任何一點安慰的話,大企業(yè)也都同樣在努力解決這一棘手的問題,這是作為移動性革命的一部分。沒有簡單的答案可尋。
9、不要忘記對這一切的物理訪問。應該有一種方法來防止未經(jīng)授權的人員訪問商用電腦資源。這可能包括企業(yè)夜間的清潔人員。對于這些不速之客要采用禮貌但堅定的方式。
10、雖然企業(yè)可能很小,但要從大處著眼。著眼于政策。這意味著企業(yè)需要制定雇員可接受的使用政策,明確規(guī)定員工在網(wǎng)上的行為,數(shù)據(jù)如何被共享和限制。讓他們閱讀這些管理政策并簽字,明確是否有線上監(jiān)控活動。應該對不遵守的員工行為進行處罰。但就某些員工行為的取締通常不利于鼓勵創(chuàng)造性思維和提高生產(chǎn)力,企業(yè)的在線溝通是至關重要的。因此,我們面臨的挑戰(zhàn)是找到正確的平衡點。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標題:小企業(yè)不可忽視的十大安全風險
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839515682.html