对于许多组织(包括投资办事处和其他组织)而言,网络安全在某种程度上是一个谜。不幸的是,由于投资办事处对网络安全缺乏明确认识,管理层对最佳方法产生了许多误解。
网络安全不仅仅是 IT 问题,这一点对所有组织都很重要。很多组织都认为,因为他们拥有内部技术专家,所以他们的网络风险是技术人员要担心的事情。
但是,计算机和接入设备不再仅仅是 IT 部门的一部分。人们可以通过多种设备访问公司网络,而每种设备都存在漏洞。IT 部门可以设置防火墙和其他防御措施,但在管理网络风险时,员工、用户管理和政策也很重要。
安全链中最薄弱的环节是人的环节。我们可以使用市场上所有先进的技术工具和安全产品,但如果用户没有正确的意识和知识,他们仍然是最大的威胁。
风险来自于一些简单的事情,比如午餐时在空旷的办公室里打开电脑,或者在咖啡馆里离开笔记本电脑。当然,还有更复杂的
情况,但这往往是风险的起点。
制定员工必须遵守的安全政策是重要的第一步。下一个重要步骤是确保员工了解并遵守这些政策,并知道违反这些政策的后果。这意味着要通过培训来提高员工的意识,并在发生违反行为时围绕这些政策进行沟通。
管理人员必须主动应对这一挑战。行动胜于雄辩。他们必须表现出对保护和教育员工了解政策的兴趣,遵守政策,并积极主动地就潜在的安全问题进行沟通。
虽然大多数软件都自带一些安全措施,但这些措施可能并不是开箱即用的,它们可能需要设置一些参数和激活一些选择。不过,在许多情况下,还需要考虑一些额外的任务,以增强对这些应用程序安全性的信心。这些活动通常是 IT 组织职责的一部分,但需要每位员工的配合,以确保遵循正确的流程,从而将风险降至最低。
员工、政策、教育和意识都是网络安全最佳实践的一部分。但事实上,这是整个组织的事情,每个人都在安全方面发挥着作用。以下是我们最近与客户分享的最佳实践清单。
这份清单当然不是详尽无遗的,但确实说明了每位员工如何帮助或阻碍公司数据的安全和风险。鼓励员工报告漏洞和已知风险,并将安全作为公司例会和讨论的一部分。
如果每个人都知道自己的职责所在,并了解如何帮助降低风险,就能围绕公司数据和安全创建一种理想的文化。
我们的月度通讯提供有用的资源、文章和最佳实践,供技术提供商和投资公司使用
