Facebook、雅虎、谷歌等重大数据泄露事件显然代表了黑客的高价值目标,但这不应该诱使小公司认为他们的数据不会受坏人攻击。如果勒索攻击关闭了你的电子商务网站、联络中心和仓库,让你陷入困境里怎么办?
保险业巨头Marsh&McLennan和IBM调查了北美1141名中小型组织的高管,发现尽管他们很清楚网络风险,但他们没有掌握如何保护自己的方法。虽然两家公司都在销售网络犯罪问题的解决方案,但远成达FBA头程觉得它们突出了一些非常现实的问题。让我们来看看一些相互矛盾的反应:
一方面:
近60%的受访者表示,他们认为网络犯罪是他们面临的五大风险之一。
78%的受访者表示,他们高度或至少相当自信他们的组织能够管理和应对网络攻击。
82%的受访者表示,他们对网络攻击的理解和评估能力非常高或至少相当自信。
另一方面:
只有18%的人表示他们已经制定了一个网络事件响应计划。
34%的人说他们已经进行了网络安全缺口评估。
36%的人说他们已经实施了一个培训员工来识别钓鱼邮件的计划。
23%的人说他们已经进行了网络防御的渗透测试。
Marsh/IBM的调查发现,如果一家销售额高达5000万美元的公司发生数据泄露,那么它的成本可能高达1000万美元。显然,这种规模的破坏会使企业倒闭或倒闭。
由于技术的先进性和网络风险景观的变化,风险很难理解和处理。IT专业人员需要管理支持和预算来解决风险,管理层需要更好地理解它。让我们来看看在一个强有力的网络战略中的一些关键考虑因素。
进行网络安全风险评估
贵公司过去两年做了这件事吗?该过程识别人员、过程和技术的问题;分析和评估风险和发生的可能性;并提出风险减轻解决方案。有许多自我评估工具可用。然而,考虑到风险、潜在损失以及理解该技术的困难,客观、外部的评估可能是花钱不错的。
在用户环境中进行更改
用户名和密码是城堡的钥匙。使用默认密码、类似密码和不定期更改密码会造成安全问题。当针对具有多个数字、区分大小写的字符和特殊字符的每个唯一用户定制时,密码强度大大提高。
公司应该提供旨在提高网络钓鱼犯罪意识的培训。数据泄露的最大原因之一是员工随意点击可疑链接或从钓鱼电子邮件下载附件。培训包括模拟和测试在线响应和实践可能是有用的。
还要记住,公共WiFi网站一般都不安全。随着笔记本电脑和移动设备的日常使用,带来病毒和网络威胁的风险呈指数增长。
进行渗透测试
网络罪犯每天都在不断测试你的网络和防御。如果你不这么认为,问问你的网络管理员每天有多少垃圾邮件、病毒和恶意软件被检测到并停止。MasH/Ibn调查发现,只有23%的受访者表示他们进行渗透测试。
创建网络犯罪事件反应计划
调查显示,只有18%的受访者表示他们有网络事件计划。当员工认为他们有病毒或恶意软件时,你想让他们做什么?在我们看来,这就像是一个消防演习或一个应急计划。报告和处理这种威胁的计划是什么?
加密密钥数据资产,尤其是来自客户的密钥数据资产
如果客户的信息以任何方式受到损害,后果是灾难性的。在电子商务行业中,PCI/DDS的规范和执行虽然成本很高,但是为客户支付和财务信息提供更大的保护。
如何在所有的数字资产中扩展数据加密?客观的网络评估认为哪些方面值得进一步保护(知识产权、金融、银行和纳税申报记录、人力资源和雇员数据)?
这些只是评估网络犯罪威胁的一些关键考虑因素。随着我们越来越依赖先进技术,风险将继续加速。对风险、应对计划和安全协议的持续评估是必不可少的。