许多小型企业刚刚起步,没有大公司所拥有的相同资源来保护其数据。他们不仅可能没有资金来支持多样化的安全计划,而且也可能没有人力或时间。
网络犯罪分子知道小型企业缺乏这些资源,并利用这些资源来谋取利益。遭受网络攻击后,小企业的处境比大公司糟糕得多。您的声誉可能不太稳定,因此很容易受到违规行为的影响,而运营关闭或支付赎金的前期成本将对小型企业的账簿产生更大的影响。
那么,小企业在预算、团队和时间有限的情况下应该优先考虑什么?以下是我们认为小型企业在网络安全计划中应重点关注的所有内容:
1. 安全意识
安全意识是抵御网络诈骗的第一道防线。安全意识是对员工(和其他利益相关者)进行有关安全重要性的培训和教育。
可以这样想:您的团队对网络攻击的了解越多,他们就越有可能发现并阻止它们。通过为您的团队提供网络安全意识培训,他们将成为您抵御网络犯罪分子的第一道防线。
进行网络安全意识培训最有效的方式很大程度上取决于您的团队。因此,在设计模块之前,请与您的团队成员交谈。他们精通技术吗?他们更喜欢一次性接受所有培训还是分散进行?他们对网络安全最担心的是什么?
然而,有些主题应该始终被涵盖。我们相信这些对于所有基础意识计划都是必不可少的:
■ 网络钓鱼
■ 社会工程学
■ 密码和 MFA
对于您的培训类型,交互式培训对所有个人都更具吸引力,并且会产生更有影响力的学习。交互式意识培训利用心理驱动因素(例如赢得领导委员会)来激励行为改变。它还向员工提供即时反馈,使他们能够立即改变不正确的行为。利用互动培训的小型企业可以正确地培训他们的第一道防线,而无需占用太多资源。
2. 软件
每个企业都应该使用一些基本软件。软件最有利的一点是,它通常只需要安装一次就可以长期使用。它们值得最初的投资,当您不需要解决安全漏洞带来的问题时,可以为您节省金钱。
防毒软件
防病毒软件可以充当安全团队的一部分,防止、扫描、检测和清除计算机中的病毒。如前所述,防病毒软件通常是一次性下载的,但可以无限期使用。下载到所有员工计算机上后,您可以将其设置为定期运行,这意味着它将定期检查所有计算机是否存在超出员工意识的病毒。
由于您可能没有足够大的团队来定期检查每个桌面,因此让该软件为您完成这些工作。
防火墙软件
安装防火墙软件(有一些很棒的免费软件)来保护您的网络免受外部入侵者的侵害。这是另一种一次性安装,一旦安装,它就会监视您的网络并控制所有进出的流量。这对所有企业来说都是一项重要的投资。
许多小型企业也选择远程工作以避免工作空间成本。如果这是您决定的路线,请确保所有远程工作员工的网络上也有适当的防火墙。
3. 数据保护
作为一家小型企业,人们很容易将所有内容都保存在 Google 云端硬盘上。但只要猜测一次 Google 密码,网络诈骗者就可以立即访问您的所有数据。在其他情况下,内部员工可能会访问敏感信息并有意或无意地泄露这些信息。
考虑哪些数据最需要保护(例如财务信息、客户和员工的 SIN 以及密码),并确保其在安全列表中具有最高优先级。考虑将这些数据保留在网络外并将它们存储在硬件上。此外,限制员工访问他们不需要的数据,减少内部或外部泄露的机会。
在重新组织数据时,最好将所有数据上传到硬盘上,这样即使您的企业确实遇到了泄露,您也不必急于将其恢复。
免费且简单的安全助推器
任何企业都可以使用其他快速、免费且简单的安全增强器来改进其安全计划:
■ 随意的安全对话:有机的安全对话是健康安全文化的首要信号。要增加这些对话,请创建一个 Slack #security 频道,您可以在其中分享安全新闻故事并回答问题。如果您的团队没有使用 Slack,请尝试在每周举行的圆桌会议上分享新闻故事。通过将安全性集成到日常活动中,您的员工会更加了解漏洞,并且更容易发现攻击,从而增强您的安全性。
■ 密码和 MFA:许多网络安全事件并不是“入侵”的结果,而只是“登录”的结果。弱密码和重复密码是网络犯罪分子进入您帐户的最简单方法。要求所有员工拥有强密码并通过 MFA 支持该强密码。这两件事不需要花费您任何金钱,并且使用这些简单的密码提示也花费很少的时间。
■ 让领导加入:虽然您的领导团队可能很小(甚至可能只有一个人),但让他们加入将取代安全营销团队的辛勤工作。与其使用沟通策略来接触您的团队并向他们推销安全的重要性,不如利用您的领导力来传达信息。如果他们高度评价安全的重要性,其他人也会效仿。
■ 不要重新发明轮子:考虑组织内部已有的内容。您的团队使用哪些沟通渠道?他们还进行哪些其他培训?您也许可以利用这些东西,而不是从头开始一切,从而节省时间和金钱。例如,如果您的团队每年都会亲自开会讨论 KPI,请考虑利用租用的空间举办快速的社会工程研讨会。如果您的团队已经使用 Slack 进行沟通,请使用我们在整篇文章中提到的一些 Slack 想法。
■ 保持系统最新:最后,保持所有系统最新也很重要。考虑每月设立一个“更新日”,提醒所有员工花时间更新所有系统。
即使资源有限,小型企业仍然可以拥有蓬勃发展的安全计划。如果您具备安全意识、软件和数据保护等基础知识,那么您就有了一个良好的开端!这不仅可以保证您的数据安全,而且您晚上也能睡得更好,因为您知道自己正在保护您的业务。