與大型企業一樣,中小企業 (SMB) 無法倖免於網路攻擊,面對不斷變化的資安威脅情勢,中小企業一樣需要了解如何管理風險。
外媒報導中小企業和非營利組織面臨的最大資安挑戰包括:
- 人為因素。員工不斷犯錯誤,例如點擊網路釣魚電子郵件中的連結或允許對其設備進行不受保護的訪問,從而使公司網路面臨風險。
- 第三方合規需求。合作夥伴組織、承包商、供應商和其他第三方合作方要求中小企業滿足其網路安全要求,尤其是那些受到嚴格監管的組織,例如金融機構。
- 各國的資料保護法。不符合這些合規要求可能會導致制裁和罰款。
- 混合的工作型態。當員工遠距工作或是臨時雇用時,中小型企業無法對設備和用戶線上行為進行同等程度的監督。
- 威脅行為者會尋找使用旨在籌集資金或收集大量個人資訊的應用程式的組織。
- 不斷變化的威脅情勢。新的攻擊媒介、新的惡意軟體和新的威脅參與者似乎每天都會出現。
根據 Sage 的一項新研究,近一半的中小企業在過去一年中經歷過網路安全事件。
46% 的中小企業不使用防火牆,19% 的中小企業僅依賴非常基本的工具。
專家建議中小企業先要製定一個內部風險計劃,監督整個公司的安全政策,並專注於員工行為。
管理員工對有效的資安管理系統至關重要。專家表示,從面試和招募階段開始,確保新進員工願意認識網路安全如何融入組織結構及日常工作流程。聘用後,強調遵循基本資安要求,包括最低權限和存取。當員工離職時,請確保離職流程完全中斷存取權限。
個人化安全培訓
中小公司中的每個人,從執行長到基層員工,都必須對資安威脅有基本了解。市面上有許多安全意識培訓課程,但中小型企業最好避免只採用一體適用的課程。
培訓應根據工作職能以及技術精通程度和興趣方面的差距等標準,針對個別員工。年長員工的學習方式通常與年輕員工不同,就像從事勞力密集工作的員工與整天盯著設備的員工與科技的關係可能不同一樣。不尊重這些差異會導致訓練不均勻,最終可能弊大於利。
讓網路安全成為業務課題
許多實際案例中,特別是在中小型企業,將網路安全單純視為 IT 問題。但比較好的觀點是將網路安全視為一個業務課題。這可以幫助資安文化更好地由高層驅動,管理層需要檢視網路威脅以及他們的業務如何成為攻擊目標。
最糟糕的就是發生網路攻擊時,擾亂業務運營但公司卻毫無準備。
當公司內部發生網路事件時,不要隱瞞。各大組織都建議企業與其他企業溝通並討論解決資安事件的策略。透過以行業為中心的組織或在當地商會會議上分享此資訊。
知道去哪裡尋求幫助
每家公司,無論規模大小,都需要更多的網路安全專業知識。無論中小企業如何在安全方面進行投資,網路安全的責任都需要分散到整個公司。
網路上有資源可幫助指導中小企業的安全之旅。例如,美國網路安全和基礎設施安全局 (CISA) 提供了中小企業網路安全指南,專門針對個人在小型企業環境中扮演的不同安全相關角色。
本文轉載自DarkReading。