信息來(lái)源：安全內(nèi)參

如今，網(wǎng)絡(luò)犯罪事件呈上升趨勢(shì)，網(wǎng)絡(luò)攻擊也變得越來(lái)越快、越來(lái)越微妙和越來(lái)越復(fù)雜。與網(wǎng)絡(luò)攻擊相關(guān)的數(shù)據(jù)泄露數(shù)量在2021年增加了27%，這一上升趨勢(shì)并沒(méi)有放緩的跡象。

不良的安全習(xí)慣(例如多次使用同一個(gè)密碼)可能看起來(lái)無(wú)害，但未經(jīng)檢查的不良行為或壞習(xí)慣可能會(huì)使企業(yè)面臨毀滅性的打擊。

這樣的壞習(xí)慣可能使企業(yè)損失數(shù)百萬(wàn)美元。例如，2021年發(fā)生的每起數(shù)據(jù)泄露事件的平均損失為424萬(wàn)美元，達(dá)到了17年以來(lái)的最高水平。

如果黑客攻擊了企業(yè)的服務(wù)器并竊取了機(jī)密數(shù)據(jù)，則可能意味著企業(yè)業(yè)務(wù)的終結(jié)。以下介紹了安全團(tuán)隊(duì)6種最常見(jiàn)的壞習(xí)慣以及如何修復(fù)，以便企業(yè)更好地保護(hù)數(shù)據(jù)并防止惡意攻擊。

1、密碼安全性差

60%以上的數(shù)據(jù)泄露事件涉及密碼被盜或防護(hù)薄弱。例如使用同一密碼、共享密碼、將密碼寫(xiě)在便箋上。安全專(zhuān)家指出，很多人一直在這樣做。因此，不要讓網(wǎng)絡(luò)攻擊者的行為更輕松。

如何克服：建立企業(yè)范圍的密碼策略，使用密碼管理器，并啟用多因素身份驗(yàn)證，以降低未經(jīng)授權(quán)的帳戶(hù)訪問(wèn)風(fēng)險(xiǎn)。企業(yè)的密碼策略應(yīng)該包括有關(guān)創(chuàng)建強(qiáng)密碼的指南、密碼多久更新一次，以及如何在員工之間安全地共享密碼的說(shuō)明。

2、復(fù)雜的流程和政策

從入職清單到隱私政策，這些文檔應(yīng)反映企業(yè)的團(tuán)隊(duì)如何完成工作并在日常工作中使用，而不是在制定之后然后遺忘在某個(gè)文件夾中。必須定期考慮這些政策，并根據(jù)觀察到的挑戰(zhàn)和風(fēng)險(xiǎn)進(jìn)行改進(jìn)。

如何克服：為企業(yè)的團(tuán)隊(duì)建立定期的政策審查和驗(yàn)收。主動(dòng)尋求反饋意見(jiàn)，以確保政策和流程反映其團(tuán)隊(duì)實(shí)際完成工作的方式，并獲得全體員工的支持。

3、采用過(guò)時(shí)的軟件和不安全的設(shè)備

遠(yuǎn)程工作多年來(lái)一直在增長(zhǎng)，但在過(guò)去兩年中，企業(yè)員工工作的地點(diǎn)、時(shí)間和方式發(fā)生了翻天覆地的變化。盡管有諸多好處，但在家遠(yuǎn)程工作的興起也帶來(lái)了重大的安全挑戰(zhàn)。

越來(lái)越多的人使用不安全的Wi-Fi、混合工作、采用個(gè)人設(shè)備、跳過(guò)定期數(shù)據(jù)備份和軟件更新等，而最終成為讓企業(yè)陷入困境的最薄弱環(huán)節(jié)。

如何克服：使用設(shè)備管理解決方案進(jìn)行自動(dòng)軟件更新和補(bǔ)丁，制定移動(dòng)設(shè)備使用策略，并鼓勵(lì)員工僅使用企業(yè)設(shè)備和安全VPN訪問(wèn)敏感數(shù)據(jù)。

4、缺乏內(nèi)部審計(jì)計(jì)劃

即使企業(yè)已經(jīng)建立了適當(dāng)?shù)陌踩吆统绦?，也必須將它們視為活?dòng)文檔。持續(xù)測(cè)試和定期內(nèi)部審計(jì)對(duì)于了解企業(yè)的安全計(jì)劃是否成熟，以及保持對(duì)新興威脅和不斷升級(jí)的威脅的認(rèn)識(shí)至關(guān)重要。

如何克服：制定內(nèi)部審計(jì)計(jì)劃，至少每年審查一次企業(yè)的安全狀況，并找出改進(jìn)的機(jī)會(huì)。這也將確保隨時(shí)了解需要解決的威脅形勢(shì)的任何變化。

5、沒(méi)有對(duì)員工進(jìn)行安全培訓(xùn)

網(wǎng)絡(luò)釣魚(yú)和惡意軟件是一些最常見(jiàn)的安全事件來(lái)源，包括勒索軟件。企業(yè)需要定期對(duì)員工進(jìn)行最佳安全實(shí)踐培訓(xùn)，并確保每個(gè)人都知道安全是組織范圍內(nèi)的優(yōu)先事項(xiàng)。

如何克服：至少每年進(jìn)行一次安全意識(shí)培訓(xùn)。隨機(jī)并定期測(cè)試員工/用戶(hù)，以確保他們了解并遵循最佳實(shí)踐。

6、僥幸自滿(mǎn)

很多企業(yè)認(rèn)為違規(guī)或安全事件并不會(huì)發(fā)生在他們身上。安全性和合規(guī)性不僅僅是IT部門(mén)關(guān)心的問(wèn)題。企業(yè)中的每個(gè)人(從執(zhí)行團(tuán)隊(duì)和董事會(huì)成員到最新入職的員工)都應(yīng)該了解企業(yè)面臨的威脅以及他們?cè)诒Ｗo(hù)客戶(hù)和企業(yè)數(shù)據(jù)安全方面的角色和責(zé)任。

如何克服：努力營(yíng)造一種優(yōu)先考慮安全并了解其重要性的企業(yè)文化。確保所有員工了解他們?cè)诒Ｗo(hù)客戶(hù)和業(yè)務(wù)信息安全方面的角色和責(zé)任，并清楚地傳達(dá)遵循既定政策和程序的好處。

大多數(shù)安全威脅和風(fēng)險(xiǎn)都是可以實(shí)施系統(tǒng)性預(yù)防的，通過(guò)常識(shí)性方法、持續(xù)合規(guī)性測(cè)試、評(píng)估、審計(jì)和衡量來(lái)解決。企業(yè)對(duì)員工進(jìn)行這些實(shí)用方法的培訓(xùn)越多，他們就越有可能成功避免代價(jià)高昂的數(shù)據(jù)泄露或安全事件。