Jeffrey Ziplow2016年2月1日|
头版头条都是这样。我们几乎每天都能得知一场新的网络攻击,窃取了数十万至数百万电子记录。摩根大通(JP Morgan Chase)、家得宝(Home Depot)、安塞姆(Anthem)、塔吉特(Target)甚至美国政府都成为了这些攻击的受害者。黑客攻击大公司只是为了窃取数百万份电子记录吗?希望有朝一日能大发横财吗?答案是否定的。中型(甚至是小型)公司也面临风险。当然,黑客想要尽可能多的电子记录。但有总比没有强,即使是最小的公司也容易受到攻击。
作为贵公司的执行和领导者,您问自己是一个简单的问题:“作为一家企业,我们受到防止网络攻击吗?”听起来很简单。我们问我们的IT经理或外部支持公司,“我们受到保护吗?”在你问这个问题之前,你知道答案,“我们当然是!”所以,你得到了你想要的答案......但是真相吗?您的IT集团是否真的履行了帮助您和贵公司的适当调查?您是否确信所有必要的预防措施都已?你今晚可以睡觉吗?知道所有风险都被减轻了吗?
我很惊讶地发现,甚至一些大公司也没有遵循“最佳商业实践”来保护自己免受黑客攻击。很多时候,首席执行官/首席运营官或IT部门认为公司受到了保护,而没有完全测试为这种保护而实现的控制和协议。因此,在进行风险评估时,我们经常会发现本可以很容易避免的“低悬”网络安全威胁。
获取我们的网络安全最佳实践清单,以确定您的公司/组织是否考虑了各种应该并且可以减轻的网络安全威胁。再说一次,我们的目标是降低风险,我们永远无法消除风险!
通过研究过去几年中发生的各种网络安全事件,我发现许多曝光事件都是由于清单上的最佳实践项目没有被应用而导致的。如果您对这些清单项中的一项或多项说“不”,您可能面临网络安全事故的风险。如果您的回答是“我不确定”或“我不知道”,那么您可能面临网络攻击的风险。
不过,不要对你的回答感到太糟糕。许多与我们进行过风险评估的公司或类似类型的项目(从大到小的企业)都至少失败了检查表中的一项。事实上,很多时候,一家公司已经为大多数员工实施了完善的网络安全实践,只是为执行管理团队实施了例外情况。一个常见的例子是,管理团队的成员似乎记不住他们的密码,因此,他们的密码永远不会更改,或者他们没有时间接受网络安全培训。在最近一次针对医疗保健机构的“网络钓鱼探险”中,大约10%的员工通过电子邮件向虚构的内部IT人员提供了用户ID和密码。更有趣的是,许多受访者都是该组织管理团队的成员。
毫无疑问,过去几年发生的网络攻击采用了更加成熟和复杂的网络黑客协议。尽管如此,在预防和/或减轻这些爆炸性事件方面,还可以做更多的工作。专注于“我如何回答是?”所有这些都是保护你的公司免受网络攻击的良好开端。加密关键的个人信息也有助于消除持续的暴露。最终,实施这些计划将会降低风险,并有希望让你睡个好觉。
