网络安全--这不是 IT 问题

对于许多组织（包括投资办事处和其他组织）而言，网络安全在某种程度上是一个谜。不幸的是，由于投资办事处对网络安全缺乏明确认识，管理层对最佳方法产生了许多误解。

网络安全不仅仅是 IT 问题，这一点对所有组织都很重要。很多组织都认为，因为他们拥有内部技术专家，所以他们的网络风险是技术人员要担心的事情。

但是，计算机和接入设备不再仅仅是 IT 部门的一部分。人们可以通过多种设备访问公司网络，而每种设备都存在漏洞。IT 部门可以设置防火墙和其他防御措施，但在管理网络风险时，员工、用户管理和政策也很重要。

针对 RIA 的网络安全提示

工作人员

安全链中最薄弱的环节是人的环节。我们可以使用市场上所有先进的技术工具和安全产品，但如果用户没有正确的意识和知识，他们仍然是最大的威胁。

风险来自于一些简单的事情，比如午餐时在空旷的办公室里打开电脑，或者在咖啡馆里离开笔记本电脑。当然，还有更复杂的
情况，但这往往是风险的起点。

政策

制定员工必须遵守的安全政策是重要的第一步。下一个重要步骤是确保员工了解并遵守这些政策，并知道违反这些政策的后果。这意味着要通过培训来提高员工的意识，并在发生违反行为时围绕这些政策进行沟通。

管理人员必须主动应对这一挑战。行动胜于雄辩。他们必须表现出对保护和教育员工了解政策的兴趣，遵守政策，并积极主动地就潜在的安全问题进行沟通。

软件

虽然大多数软件都自带一些安全措施，但这些措施可能并不是开箱即用的，它们可能需要设置一些参数和激活一些选择。不过，在许多情况下，还需要考虑一些额外的任务，以增强对这些应用程序安全性的信心。这些活动通常是 IT 组织职责的一部分，但需要每位员工的配合，以确保遵循正确的流程，从而将风险降至最低。

最佳做法

员工、政策、教育和意识都是网络安全最佳实践的一部分。但事实上，这是整个组织的事情，每个人都在安全方面发挥着作用。以下是我们最近与客户分享的最佳实践清单。

• 向所有员工宣传组织中的每个人都在数据
  安全方面发挥着作用。
• 从媒体发送有关安全漏洞的最新新闻。
• 在招聘过程中进行员工背景调查。
• 从高级管理层开始，确保所有员工都阅读过现行的数据安全政策。
• 执行明确的办公桌政策，所有文件等在不使用时都必须安全存放。
• 对物理和数字文件应用不同级别的访问权限，并对访问权限进行测试。
• 不鼓励在 "外出 "时使用公共无线网络和手机数据。
• 只允许少数用户在办公室外访问客户数据。
• 对可访问公司数据的计算机和任何设备实施密码保护。
• 对物理和数字文件应用不同级别的访问权限，并对访问权限进行测试。
• 不鼓励在 "外出 "时使用公共无线网络和手机数据。
• 只允许少数用户在办公室外访问客户数据。
• 对可访问公司数据的计算机和任何设备实施密码保护。
• 强制每 90 天更改一次密码。
• 不要广播公司 Wi-Fi 网络名称。
• 不得将包含公司数据的 U 盘带出办公室。
• 定期测试信息技术系统和安全程序，以协助执行。

这份清单当然不是详尽无遗的，但确实说明了每位员工如何帮助或阻碍公司数据的安全和风险。鼓励员工报告漏洞和已知风险，并将安全作为公司例会和讨论的一部分。

如果每个人都知道自己的职责所在，并了解如何帮助降低风险，就能围绕公司数据和安全创建一种理想的文化。