防止企业安全威胁的九项措施

如果员工不知道一些潜在的安全问题,那么即使企业安全信息系统更贵,它的功能也会像肥皂泡一样消失。事实上,只要他们改善了一些经常被忽视的行为,就很容易避免安全威胁,花费不到一分钱。

许多公司都投入了大量的资金和人建立信息安全系统,希望能远离许多安全威胁,躺着。但是如果不小心踩到煤矿安全所有这些努力都将化为泡影。安全专家们说,只要人们意识到这些潜在的陷阱,这是很容易避免的安全威胁,不能做超过一分钱。

1。防止公司机密从指尖溜走

许多最常见的安全问题可能来自一些微不足道的技术习惯。例如,微软Outlook或其他邮件系统中的电子邮件地址将被自动填充,填写电子邮件地址的员工很快,如果一个同事的名字输入会自动出现在其他类似名称的电子邮件地址可能电子邮件地址,在下拉框中。由于工作人员不小心,和你匆忙的指尖,邮件将被发送到其他人,他认为他的邮件发送到一个同事就在里面。很多人可能都遇到过这样的危险。如果电子邮件包含有关公司的敏感数据,然后商业秘密将被释放。

赛门铁克公司的营销和产品的高级经理Steve Roop说,如果更多的用户电子邮件地址中的禁用微软Outlook和其他邮件系统;自动填充的功能,可以避免很多原因造成的数据丢失是过失碰撞。

Roop说,作为信息泄漏90%多与事实有些用户失败相关的邮件,我们只需要禁止自动填充等功能。尽管将来输入电子邮件地址可能很麻烦,但至少可以让公司避免头痛,而且不需要额外的费用。

2。注意那些你认为可靠的人。

Roop认为,另一个常见的安全错误是其中的用户:他们认为他们可以发送敏感信息,例如人力资源数据的业务伙伴或外包服务提供商。如果发送的信息是不加密的,危险更大。

他说:人力资源外包服务提供商可能没有强烈的安全意识,不经意地将电子表格发送到其他地方,或者存储不安全的笔记本电脑上的数据,这是一种潜在的安全隐患。Rdquo说;

三.基于Web的应用程序可能导致信息泄漏。

McAfee安全研究和通信经理Dave Marcus认为,导致许多安全问题的一个常见行为是使用Web邮件,或者允许员工从公司网络访问音乐下载和文件共享服务。

这样一个基于Web的应用程序会绕过公司的安全过滤器(网络邮件就是这样),或者打开连接到外部世界的渠道,从而给公司带来病毒或更严重的威胁。

如果员工把工作带回家做,风险就会大幅度提高,马库斯认为,如果他们不直接使用公司的VPN来直接发送邮件,关键数据可能会被盗。

事实上,只要信息安全政策的实施,要求员工使用安全VPN或加密通道电子邮件客户端软件(电子邮件);或禁止用户安装的应用程序在电脑上工作,他们是不允许复制到可移动介质上的数据,这是很容易避免这些问题的。此外,员工应避免将数据发送到自己的电子邮件,这些邮件被拦截了一半。

4。思考后显示密码和用户信息

密码和个人数据的泄露通常是内部用户,而不是外部入侵者,因此,计算机和网络攻击者可以利用机会闯入用户,以取缔名誉。

马库斯说,虽然人们已经意识到网络钓鱼的威胁,间谍软件和其他因素的影响,但仍有许多人不在互联网发展保护的习惯,他们没有把这些危险和他们联系在一起,不仅方便,因此在收到请求仍愿意披露的数据,不确定他是不是欺骗。马库斯说:人们认为,出现在你面前的是正当的网站,这是一个危险的想法在互联网世界。


5。预防处于萌芽状态

没有人想体验数据泄露。Kevin Mandia,Mandiant首席执行官们提供了漏洞分析服务和软件工具,建议CIO应该准备好对策后漏。一旦果是真的

他说,由于信息泄露,每家公司都可以采取措施减轻影响。不幸的是,大多数公司等到测试为时已晚,甚至制定应对策略时都为时已晚。

Mandia说,该系统应记录的数据流,包括当当访问数据,但一些公司使用这些数据,但是很少有公司这么做。他说,我们看到的最常见的错误是,公司要求我们过去,我们问的第一件事是是否存在任何相关文件。对方往往提供了大量的数据,但没有正式的文件。技术人员在这方面那么差吗,和律师没有问。所以几乎没有例外,我们问过去发生的事情的公司,和对方无法回答它在所有。






6。秘密公布后的保密

许多公司不指定一个领导者或团队应对安全事件和发现重要的细节,这大大限制了应对事件的能力。在许多公司,这已成为一个推卸责任的借口,而另一些则涉及泄漏处置工作的人太多,所以很多人阻挠相关调查。

Mandia说:有些公司让太多的人参与决策过程。我们过去了,我们已经解释了12人,但事实上,10的人没有参加。

另一个常见的问题是,很多公司通常不泄密,这样一来,员工在听到风声后,会立即设法保护自己的利益,从而增加了调查的难度。

Mandia说,如果事件涉及的内部人员,他们知道他在哪里,会立即清理一些证据(有证据可以帮助调查人员查明真相),造成很大的麻烦来确定责任。

7。良好的安全补丁并不等同于世界其他地方。

随着IT和数据安全的监管措施越来越多,许多公司投入大量资金在技术上解决漏洞,但他们通常认为使用技术或某一方面的法律法规是容易的,事实并非如此。

安全煽动分析师Mike Rothman说:我看到的主要问题是人们认为在部署反病毒软件、修补和运行漏洞扫描以及其他简单措施之后,它们确实符合要求,他们不从风险管理的角度来看待问题。Rdquo说;

许多公司已经审查了数量有限的安全补丁,在获得一个及格分数后,他们就不需要再加强他们的工作了。罗斯曼说:人们经常认为,一旦进行积极的审查,这是成功的。之后,黑客将证明它不是。

8。安全问题不可能是这样的;

罗斯曼说,公司经常陷入与遵守有关的另一个安全陷阱:不管IT系统对公司的安全和成功多么重要,它都将投入同样的能源或成本。

他说:有些人为的错误是所有安全问题都一样';';为了保护,只有五人使用旧的应用系统,他们投入大量的时间和金钱在保护在线申请系统,所有的客户使用。

这是一种浪费,一旦预算花掉,它将在未来留下更严重的问题。罗斯曼说:安全人员通常不知道如何优先处理重要的问题,他们应该考虑在某一方面泄漏的后果,然后考虑如何设定开支。Rdquo说;

9。放弃不应该保存的数据

另一个常见的情况给人们带来灾难,安全性和合规性就是:很多人处理信用卡和借记卡公司开放交易日志系统来保存账户信息,允许这些交易登录,这将导致客户数据泄露。

Roop说:这些无意中保存的数据可以被用来伪造信用卡,被黑客或意想不到的员工使用。;Roop说,不收信用卡数据的公司也应该确保只保留必要的信息为企业在现阶段,他建议,如果没有明确的需要保存信息,但保留可被攻击者所使用的信息,它是要找到一种苦涩的味道。如果数据没有被保存下来,应确保保护措施了。