如今,网络犯罪事件呈上升趋势,网络攻击也变得越来越快、越来越微妙和越来越复杂。与网络攻击相关的数据泄露数量在2021年增加了27%,这一上升趋势并没有放缓的迹象。
不良的安全习惯(例如多次使用同一个密码)可能看起来无害,但未经检查的不良行为或坏习惯可能会使企业面临毁灭性的打击。
这样的坏习惯可能使企业损失数百万美元。例如,2021年发生的每起数据泄露事件的平均损失为424万美元,达到了17年以来的最高水平。
如果黑客攻击了企业的服务器并窃取了机密数据,则可能意味着企业业务的终结。以下介绍了安全团队6种最常见的坏习惯以及如何修复,以便企业更好地保护数据并防止恶意攻击。
1、密码安全性差
60%以上的数据泄露事件涉及密码被盗或防护薄弱。例如使用同一密码、共享密码、将密码写在便笺上。安全专家指出,很多人一直在这样做。因此,不要让网络攻击者的行为更轻松。
如何克服:建立企业范围的密码策略,使用密码管理器,并启用多因素身份验证,以降低未经授权的帐户访问风险。企业的密码策略应该包括有关创建强密码的指南、密码多久更新一次,以及如何在员工之间安全地共享密码的说明。
2、复杂的流程和政策
从入职清单到隐私政策,这些文档应反映企业的团队如何完成工作并在日常工作中使用,而不是在制定之后然后遗忘在某个文件夹中。必须定期考虑这些政策,并根据观察到的挑战和风险进行改进。
如何克服:为企业的团队建立定期的政策审查和验收。主动寻求反馈意见,以确保政策和流程反映其团队实际完成工作的方式,并获得全体员工的支持。
3、采用过时的软件和不安全的设备
远程工作多年来一直在增长,但在过去两年中,企业员工工作的地点、时间和方式发生了翻天覆地的变化。尽管有诸多好处,但在家远程工作的兴起也带来了重大的安全挑战。
越来越多的人使用不安全的Wi-Fi、混合工作、采用个人设备、跳过定期数据备份和软件更新等,而最终成为让企业陷入困境的最薄弱环节。
如何克服:使用设备管理解决方案进行自动软件更新和补丁,制定移动设备使用策略,并鼓励员工仅使用企业设备和安全VPN访问敏感数据。
4、缺乏内部审计计划
即使企业已经建立了适当的安全政策和程序,也必须将它们视为活动文档。持续测试和定期内部审计对于了解企业的安全计划是否成熟,以及保持对新兴威胁和不断升级的威胁的认识至关重要。
如何克服:制定内部审计计划,至少每年审查一次企业的安全状况,并找出改进的机会。这也将确保随时了解需要解决的威胁形势的任何变化。
5、没有对员工进行安全培训
网络钓鱼和恶意软件是一些最常见的安全事件来源,包括勒索软件。企业需要定期对员工进行最佳安全实践培训,并确保每个人都知道安全是组织范围内的优先事项。
如何克服:至少每年进行一次安全意识培训。随机并定期测试员工/用户,以确保他们了解并遵循最佳实践。
6、侥幸自满
很多企业认为违规或安全事件并不会发生在他们身上。安全性和合规性不仅仅是IT部门关心的问题。企业中的每个人(从执行团队和董事会成员到最新入职的员工)都应该了解企业面临的威胁以及他们在保护客户和企业数据安全方面的角色和责任。
如何克服:努力营造一种优先考虑安全并了解其重要性的企业文化。确保所有员工了解他们在保护客户和业务信息安全方面的角色和责任,并清楚地传达遵循既定政策和程序的好处。
大多数安全威胁和风险都是可以实施系统性预防的,通过常识性方法、持续合规性测试、评估、审计和衡量来解决。企业对员工进行这些实用方法的培训越多,他们就越有可能成功避免代价高昂的数据泄露或安全事件。
