中小型企業(yè)應(yīng)如何生存下去?通常我們的關(guān)注點主要聚焦在業(yè)務(wù)規(guī)劃、營銷策略、吸引額外投資等方面，但很少有人提及建立穩(wěn)固的網(wǎng)絡(luò)安全系統(tǒng)。然而，缺乏對網(wǎng)絡(luò)威脅的清晰理解可能會使中小型企業(yè)喪失成功的機會，本文討論了一些典型的網(wǎng)絡(luò)安全錯誤，以及應(yīng)對措施。

典型的網(wǎng)絡(luò)安全錯誤

中小型企業(yè)在發(fā)展成為一家成熟企業(yè)的過程中，可能會犯哪些網(wǎng)絡(luò)安全錯誤?

給予員工過多的訪問權(quán)限

通常來說，當中小型企業(yè)員工需要訪問公司資源或服務(wù)時，他們會立即獲得管理員權(quán)限。共享這些訪問權(quán)限的人通常認為，在不了解特定員工的真正需求及其職責的情況下，一次性授予對所有內(nèi)容的訪問權(quán)限要比每周授予新的訪問請求更容易。但是，員工擁有的訪問權(quán)限越多，出錯的可能性就越大。如果企業(yè)想最大限度地減少網(wǎng)絡(luò)事件的數(shù)量，每個工作流參與者應(yīng)該只擁有其任務(wù)所必需的訪問權(quán)限。

缺乏信息存儲規(guī)則

一般來說，這對任何企業(yè)都是不利的。但在創(chuàng)業(yè)公司，由于存在員工高流動率問題，企業(yè)可能會在某一天根本找不到重要的工作文件。它們很可能存在于某個地方，但究竟在哪里卻無從得知。也許會有開發(fā)人員或營銷實習生曾經(jīng)知道這件事，但他們可能在沒有告知任何人的情況下就離開了公司。

密碼管理混亂

另一個常見問題是遺忘了企業(yè)社交網(wǎng)絡(luò)或其他很少使用的服務(wù)密碼。也許一位新員工建立了Facebook或LinkedIn賬戶來幫助企業(yè)推廣業(yè)務(wù)，但未能與其他員工分享賬戶信息，就匆匆離職或轉(zhuǎn)崗擔任另一個角色——登錄憑據(jù)已經(jīng)消失，幾乎沒有恢復的機會。

有些企業(yè)可能會認為，在員工高流動率的情況下，使用共享賬戶可能是個好主意。但是，知道密碼的人越多，由網(wǎng)絡(luò)釣魚、疏忽或惡意意圖而發(fā)生數(shù)據(jù)泄露的可能性就越大。此外，當安全事件發(fā)生時，它會極大地增加企業(yè)對事件調(diào)查的難度。

另一個與密碼相關(guān)的錯誤是，企業(yè)將某個文件存儲在云中，這意味著任何知道該鏈接的人都可以訪問它。這樣做的明顯好處是，將必要的信息非常方便地傳遞給所有員工。然而，這樣的文檔可以被搜索引擎索引。換句話說，包含企業(yè)所有密碼的文件可能會落入壞人之手。

身份驗證不足

如果中小型企業(yè)沒有忽視工作賬戶的雙因素身份驗證，那么與密碼相關(guān)的一些問題就不會那么危險了。雙因素身份驗證使企業(yè)可以保護重要數(shù)據(jù)免受各種侵害，例如網(wǎng)絡(luò)釣魚。目前看來，首先需要進行雙重防護的是金融行業(yè)。

應(yīng)對網(wǎng)絡(luò)威脅的建議

中小型企業(yè)避免犯“典型”錯誤，請嘗試遵循以下建議：

• 在授予員工對資源或服務(wù)的訪問權(quán)限時，應(yīng)該遵循最小權(quán)限原則。也就是說，員工必須擁有最低限度的訪問權(quán)限——僅足以執(zhí)行他們的任務(wù);
• 準確了解中小型企業(yè)的重要信息存儲在哪里，以及誰有權(quán)訪問它。由此，在雇用新員工時制定指導方針，包括明確定義每個員工需要哪些賬戶，以及哪些賬戶應(yīng)該僅限于某些角色;
• 成熟的企業(yè)網(wǎng)絡(luò)安全文化有助于防范網(wǎng)絡(luò)威脅。例如，可以從為員工創(chuàng)建網(wǎng)絡(luò)安全手冊開始，以便每個人都能保持認知同步;
• 所有密碼都必須存儲在安全的密碼管理器中。這將幫助員工不會忘記或丟失它們，并最大限度地減少外人訪問企業(yè)賬戶的機會。此外，還應(yīng)盡可能使用雙因素身份驗證機制;
• 建議員工在離開辦公桌時鎖定計算機，應(yīng)該讓員工記住辦公室可以被各種第三方訪問，包括快遞員、客戶、分包商或求職者等;
• 考慮安裝防病毒軟件以保護設(shè)備免受病毒、木馬和其他惡意程序的侵害。

原文鏈接：

https://usa.kaspersky.com/blog/startup-cybersecurity-mistakes/26135/