面对网络风险 企业应当如何部署安全策略?

有关数据泄露和漏洞的突发层出不穷,这些数据泄露和漏洞对企业的财务和声誉有着非常大的影响。企业高管似乎无法摆脱预警头条的抨击,以及由专家组成的轰炸,这些专家就如何避免这些网络安全攻击提出了一些建议。

尽管如此,网络安全攻击仍在继续。最为糟糕的是,网络犯罪分子经常针对最明显或最基本的载体和漏洞。仅是2019年7月,就有很多这样的事例:比如数百万条记录在亚马逊数据库中被泄露,还有来自学区的用户和员工记录被软件漏洞暴露,再比如足球迷的财务信息被不法分子窃取等。

建立和管理强有力的安全战略是至关重要的。企业必须知道风险在哪里并解决一切可行性问题,此外还需要不断的监测变化。

制定成功的网络安全战略的第一个阶段是确保整个组织的全面参与,这不仅是一种共识,也是一种意识。建立或更新安全策略将对业务和技术方面产生一定影响。网络安全需要被整个企业所理解,以便将其视为公司的业务推动者和竞争优势,而不是阻碍因素。将关键决策者排除在外,可能会减缓采纳速度。

●策略一:考虑使用外部资源来支持设计安全策略。没有必要将整个项目外包,因为这可能引起内部的不满。但是,安全顾问的技能和知识能够提供关键的专业知识和经验,因为他们熟悉一系列组织安全需求和挑战,可以帮助加速项目并确保不忽视组织特定的考虑因素。

一旦达成协议,似乎是开始项目的合适时机,但是一定要等待。定义组织安全策略的下一步实际上是退后一步,与区域领导坐下来了解他们每天的工作,包括使用哪些系统,存储数据的位置以及第三方和供应链与企业交互。

理想情况下,需要完成完整的软件审计。至少,企业需要了解正在使用的内容,使用者以及更新的频率。这需要时间,而且不是一件小事。但请记住,许多漏洞都会由于基本的安全性失误而发生,所以这个阶段非常值得投资,以确保为组织设计正确的安全策略。

●策略二:值得记住的是,虽然IT有一个正在使用的软件列表,但它并不详尽。部门在IT职权范围之外购买和管理软件是很常见的。这些工具被称为影子IT,在正常业务的监视下运行。为了实现成功的安全策略,必须标识、审计这些项目并将其纳入内部IT团队的职权范围。

在每个人都了解项目影响并且很清楚需要保护、更新或退役哪些内容的时候,项目就可以开始了。业务和流程的发生方式会发生变化,这意味着一些员工可能会进行抱怨,IT团队可能会接到越来越多支持部门的呼叫。尽管存在暂时的不便,但安全策略管理应该成为一个定期和持续的过程,一旦完成,就会对软件、设备和风险进行定期审计。没有这个持续的组成部分,所有的努力工作都将失去价值。此外,如果发生违规行为,理解和纠正事件所需的工作量将大幅增加。

●策略三:考虑将持续的用户教育作为安全策略的一部分。许多安全策略在很大程度上都取决于员工,因此有必要创建一个安全培训计划来教育用户使用强密码,如何识别虚假网站以及及早发现网络钓鱼/鱼叉式网络钓鱼电子邮件的信息。

创建和维护一个成功的安全策略不是一项简单的任务,但是有了正确的支持和外部资源,则不一定是负面的体验。事实上,有了更安全的数据访问和更好的教育用户,最终结果将会使业务更加强大,能够在当今的数字和基于云的世界中取得成功。

Image placeholder
fang1344
未设置
  86人点赞

没有讨论,发表一下自己的看法吧

推荐文章
关于网络安全防御,每个中小企业应该知道的5件事

根据美国商业促进局(BBB)的数据显示,你可能会惊讶地发现,小型企业占北美所有企业的97%以上。根据这个统计数字,我认为好消息是,在所有网络攻击中,针对小企业的攻击不到一半。坏消息是,当中小企业受到攻

企业应如何进行云迁移?小心这5个陷阱!

  国际数据公司(InternationalDataCorp)表示,到2022年,全球数字化转型支出将达到近2万亿美元。然而,各种各样的迁移事故仍然会对企业数字化转型过程造成阻碍,威胁着企业的生存与发

周鸿祎:360回归企业安全 携手安全生态打好网络攻坚战

8月19日,主题为“应对网络战、共建大生态、同筑大安全”的第七届互联网安全大会在北京雁栖湖国际会展中心隆重开幕,来自国内外的百余位专家共同讨论全球网络安全的最新形势,从战略、产业和技术等多个层面,探讨

龙头企业应该承担起产业数据生态构建的重任

背景:当前,企业的数据积累和数据处理体系已基本完成,各行业关注的重点转向多渠道、多种数据形式的融合,从局域数据融合转向全域数据融合。海量的数据将在“云端”汇聚,并将实现多种业务之间的高度融合。需求在线

打好网络安全攻坚战 思科年度安全报告系列关注未知安全挑战

当网络攻击愈演愈烈,当勒索软件愈加嚣张,企业对于网络安全的重视程度稳步提升。网络安全在企业中的地位从没像今天这般高涨。但不可否认的是,即便企业提升了对网络安全的防护,但网络安全威胁依旧长期存在且愈加复

医疗行业数据安全的主要风险和应对分析

作者:柳遵梁依据Verizon数据泄露报告中对客观现状、数据分布和数据流动等方面综合分析,医疗行业数据安全的主要风险包括如下几个方面:  一、人的安全风险和对策  1.人的安全风险是医疗数据安全的最大

全球数据泄露报告:内部威胁成数据安全最大风险!

一份最新报告显示,由现任和离职员工引起的内部威胁使公司容易遭受破坏,并使公司数据面临风险。Code42发布的《2019年全球数据泄露报告》还质疑,是否需要资助和部署正确的数据安全解决方案来阻止内部威胁

如何部署多云环境下的IT基础架构?

在多云环境下,企业IT基础架构如何构建,是很多企业都在关心的话题。那么,到底如何去部署多云环境才算成功?有哪些关键要素?众所周知,云带来的好处是,让企业IT有了更多选择,我们可以选择AWS,可以选择谷

和大型企业相比,小企业可能并不是安全的薄弱环节

拥有250名或更少员工的企业通常比规模较大的企业使用更高比例的安全从业人员。小型企业经常因为成为大型企业供应链攻击的门户而声名狼藉。但从一份关于小型企业安全的报告中可以看出,情况可能并非如此。作为(I

未来已来,如何减少人工智能带来的风险?

为了在新时代蓬勃发展,企业安全需要减少人工智能带来的风险,并充分利用它提供的机会。人工智能(AI)正在创造信息安全的新领域。能够独立学习、推理和行动的系统将越来越多地复制人类的行为。就像人类一样,他们

云架构远没想象般安全 派拓网络五大建议助力云安全

当企业业务大量向云端转移,云上安全问题变得愈加严峻,如何保障云端业务的安全成为企业关注的重点问题之一。前不久,网络安全企业PaloAltoNetworks(派拓网络)发布了一份云安全报告,揭示亚太区大

Fortinet的云安全观:上云≠安全 云安全市场或迎“又一春”!

近年来网络攻击事件频繁发生,企业对于网络安全的关注度已经到达前所未有的高度,如何保证业务的正常运转是每个企业最为关注的问题之一。而随着越来越多的企业将业务扩展到云端,云上安全问题也成为企业必谈的话题!

为什么你应当选择 PostgreSQL 而不是 Oracle?

本文转自| PostgreSQL中文社区 作者简介 Jan Karremans,EnterpriseDB的高级销售工程师。 译者简介 KevinZhan,深圳联友科技SA,目前负责公司部分核心系统应用

专为中小企业量身定制 H3C ER3200G2企业路由

随着互联网+战略的持续推进,中小企业网络上承载的业务种类和流量与时俱增。如何保障网络的畅通无阻,实现效率和资源的最大化,是我们共同关注的问题。本文,针对中小企业组网问题,给大家推荐一款企业级路由器。H

云服务已占企业网络流量的85%

来自云安全公司Netskope的一份报告显示,云服务目前已占企业网络流量的85%。云服务落地加快,主要由跨组织的协作驱动,需要多个云服务来支撑。在前20个云服务中,云存储和协作应用占据了榜单首位,一些

面向企业的私有5G网络

许多人认为,5G网络是面向消费者部署的焦点。但是迄今为止,企业私有的5G网络已经出现。对于IT经理来说,他们可以在园区网络中替代有线局域网。私有5G网络有望吸引寻求私有系统的企业IT经理的注意,这些系

虚拟网络的“监管”之道 企业上云两手都要硬

现阶段,企业级业务进入需求爆发期,混合云网络成为新的趋势。企业开始关注和尝试使用微服务架构,其网络当中可以有几百至上千个微服务,各种微服务之间关系紧密。真正复杂的部分不在于资源池网络,而是更多地在于企

平台+生态,华为凭什么为企业安全保驾护航?

当网络成为企业刚需,安全问题也不得不引起大家的重视。尤其是近年来,各种网络安全问题接连不断发生,给企业带来了严重不良后果。由此可见,企业亟需安全有效的解决方案来完善自己的网络。2019年3月21日,华

博通终归还是下手了 作价107亿美元收购赛门铁克企业安全业务!

说起财大气粗,博通绝对是排的上号的企业,早在去年,博通就曾试图斥资1170亿美元收购竞争对手高通,最终特朗普政府以国家安全为由阻止了收购。而后博通在2018年7月斥资189亿美元收购了IT管理软件和解

运通集团:护航企业安全,不为信息化而信息化

曾经有人做出过总结,现代人忙碌奔波在物质上无非为了几“子”:车子、房子和票子。房和车可以说是很多现代人生活中的刚需。也正因如此,房地产商和汽车厂商近年来如鱼得水,得以开展各种业务,而运通集团就是典型代

选择企业通讯平台,不容忽视的7大安全因素

信息平台正在改变工作场景信息共享的方式,但这不应该冒着数据泄露的风险。你需要让同事检查一项任务,你最可能的交流方式是什么?打电话?写一封电子邮件吗?还是直接走向他们的办公桌?如果您与大多数企业一样,那

从网络接入层到 Service Mesh,蚂蚁金服网络代理的演进之路

本文作者:肖涵(涵畅)上篇文章《 诗和远方:蚂蚁金服ServiceMesh深度实践|QCon实录》中, 介绍了ServiceMesh在蚂蚁金服的落地情况和即将来临的双十一大考,帮助大家了解Servic

在网络安全中应用人工智能的五大障碍

国外网络安全公司Cylance发布报告称,人工智能(AI)应用落地的两个最主要障碍是人工智能本身发展不成熟以及应用企业对技术储备的缺乏。人工智能可以有效地帮助网络安全专业人员应对更复杂更危险的威胁,但

盘点 | 近期网络安全领域的7次重大收购

网络安全在今天比以往任何时候都更加重要。原因是我们比以往任何时候都更紧密地联系在一起。数字转型给我们带来了新的曙光,一切都通过互联网连接起来。然而,这使得我们的数据比以往任何时候都更容易受到攻击。技术