大卫·俄维奇|2016年9月15日
网络安全威胁在不断演变,越来越复杂,越来越难以防范和检测。您的组织可能已经经历了某种类型的入侵,可能是勒索软件、网络钓鱼或恶意病毒。随着这些威胁的严重程度和频率的增加,你需要把网络安全作为你今年业务的头等大事。
因此,您是否知道您的业务在其网络安全性方面所代表的位置?您是否想知道您的组织是否可能要将门宽敞,为网络犯罪分子进行正确的方式?
如果您认同以下任何一个领域,当涉及到潜在的网络入侵时,您的组织可能处于更高的风险领域。
您的组织缺乏正式记录了关于安全的政策和程序。
员工不了解网络安全政策,或者不需要签署承认其职责。员工安全意识培训不存在。
您的组织缺乏管理层的管理,理解,承诺或优先级为网络安全。IT人员可能有一些安全实践,但网络安全倡议不在“前五名”的领导力优先事项列表中。
您的组织严重依赖于默默无闻的安全性;您可能已经知道系统中的漏洞,但没有时间、资源或人才来减轻风险。您依赖于保密,或者更糟糕的是,认为攻击者“兴趣不大”是一种安全“策略”。
您的组织缺乏成熟的帮助台或事件处理实践。IT支持不堪重负,似乎是“免费的”,并且没有使用正式的订票系统。大部分时间都花在了灭火上。
您的组织缺乏成熟的计划安全实践。这可能包括:
- 服务器机房可加倍作为供应室
- 可以安装基本防火墙,但无故意配置为阻止某些流量和日志/警报IT员工
- 不支持或未打补丁的软件可能很普遍,没有长期的升级策略
- 备份和恢复工作可能很少或很少发生
- 可以允许移动设备访问邮件,但不使用移动设备管理解决方案,也不存在BYOD策略
- 网络管理解决方案(如活动目录)可用于基本身份验证,但组策略不用于加强安全性
在这些领域中的任何一个都有弱点会导致您的企业潜在的灾难性后果 - 无论是在停机时间,修复成本还是声誉损害。您需要“知道您不知道的内容”,通常是确定这一点的最佳方法是从一个独立的来源开始评估。这将通过识别您的安全性的任何漏洞并帮助根据风险级别和可用资源确定修复优先级,使您的组织受益。
