开始加强公司安全状况的3种方法

 
“网络攻击是当今开展业务的不幸现实之一。”这就是Zynga在去年9月遭受数据泄露后在支持页面上所写的内容。
不幸的是，Zynga是对的。这次特殊攻击暴露了与超过2.18亿个Words With Friends玩家帐户相关的个人信息，但这并不是唯一的。
网络犯罪分子每天都将大型和小型公司(在每个行业中)作为攻击目标。有时，数据被盗，但有时不是。有时，直到很长时间才发现数据泄露。
几乎不可避免地，您的公司将成为目标，但您可以控制公司面临的风险程度。
盘旋马车
公司安全是一项共同的责任，应成为每个员工职务说明的一部分。您公司的整体安全状况(即整个IT堆栈的安全状态)是许多因素的产物。这在很大程度上取决于组织中每个人的知识和准备程度。
要评估您的安全状况，您需要对已实施的各种流程和防御措施进行准确的评估。其中包括技术层，例如外部漏洞扫描，加密和网络安全工具。它还包括您的员工培训计划。
在威胁的背景下评估这些组件对于了解您在何处以及如何受到威胁至关重要。如果您不知道从哪里开始，请执行以下三个步骤，为稳健的安全态势打下基础。
1.确定安全所有权。
网络安全是每个人的责任，但并不是每个员工的主要职责。安全日益与公司战略交织在一起，使其成为最高管理层的职责范围。确实，在数字世界中最有弹性的公司就是那些将安全性作为高管层优先级的公司。当责任从头开始时，创建愿意共享责任的组织就容易了。
设计和制造公司Pensar Development的安全主管Kayne McGladrey认为，公司文化是您安全状况中最重要的方面之一。他建议通过在员工之间建立“健康的怀疑”来创造一种具有韧性的文化。
不要仅仅要求员工参加一次性课程。通过在现实世界中进行演示，向您的团队介绍安全威胁。将USB随身碟留在厨房中，或在员工收件箱中放入虚假的网络钓鱼电子邮件。然后，向员工展示未来如何应对实际攻击。关键不是要羞辱或惩罚员工，而是要为不可避免的情况做好准备。
2.阐明您的平台功能。
过去，许多公司都依靠软件即服务(SaaS)来存储，管理和分析客户和员工数据。提供该软件的第三方公司将负责确保其安全。如今，越来越多的公司要求越来越多的定制软件包。这引起了平台即服务(PaaS)行业的发展。但是PaaS提供的多功能性存在风险。
“重要的是要记住，PaaS非常灵活，并且因为您可以使用PaaS做任何事情，所以人们将做任何事情。” RevCult的首席产品和解决方案官Pete Thurston说，RevCult是使用Salesforce的企业公司的安全和治理合作伙伴。
例如，在Salesforce中构建自定义应用程序的能力可能是企业公司的一大福音。但这也可能带来新的挑战。因此，需要为PaaS系统和应用程序提供与SQL数据库，内部服务器和异地数据存储相同的安全注意事项。您在PaaS中创建的应用程序可能不会直接改变您的战略地位，但是它们是复杂的，成熟的系统，需要先决条件和计划才能进行管理。
3.让合作伙伴和子公司参与。
您的安全态势将影响所有通过合并和收购进入子公司和第三方公司。在做出重大并购决定之前，购买者应进行网络尽职调查。这将确保他们了解目标公司的信息体系结构将如何影响新合并的组织的整体安全状况。
Joshua Foltz是备份和灾难恢复提供商Axcient的技术执行官兼首席信息安全官。他认为，公司安全文化的相对优势或劣势应体现在其估值中。他说：“收购公司需要了解他们在收购过程中正在继承安全风险。”即使您在收购时获得了折扣价，但这种风险(如果不能立即得到缓解)最终可能使您付出的代价超出了您想要支付的代价。不要忽略它。
您还应该验证所有第三方供应商和合作伙伴的安全做法。供应商数据库中的漏洞可能会暴露您的员工和客户，这意味着您的总体安全状况仅与最脆弱的合作伙伴一样强大。
制定适当的安全态势应该是整个公司的目标。所有团队成员都必须了解如何维护它以及为什么要维护它。从上述步骤开始，避免成为网络犯罪统计数据。