企业安全性从未像现在这样重要。数据定期被破坏,从中型企业到大型企业都不能幸免。但即使你的公司是一家小的作坊式公司,你也不能摆脱这个难题。所有企业都需要把确保数据安全性作为首要考虑的问题。
你可以采取怎样的措施来加强企业的安全性?你不得不采购昂贵的设备吗?在有些情况下,是的。但并非所有的情况下都是如此。你可以通过一些步骤让你和你的公司不用花费半年的预算。下面就是10种具有成本效益的方式,让你可以加强你的企业的安全性。
1、更新,更新,更新
你能做的最糟糕的一件事情就是忽略在你的服务器和台式机上进行更新。很多时候,这些更新中包含确保硬件符合当前安全策略和防止漏洞所需的安全补丁。如果没有这些补丁,你可能会让自己暴露在各种各样的攻击之下。尽管升级更新是很耗费时间的(而且可能导致一些服务器出现宕机的情况),但是必须把这作为一个确保你的企业安全的关键步骤。
2、了解最新信息
如果你是在IT部门(如果你正在读这篇文章的话,那么这点是很有可能的),你的职责之一就是了解最新的安全威胁和警告。如果你跟上了PC安全世界的变化脚步,那么你就不仅会知道最新的威胁,还有能够防止这些威胁的最新技术。但是确保要在收到来自你所采用产品的提供厂商所发出的安全警报以及一般安全问题打上标签。了解最新的安全技术,以开放的心态学习新的方法。听一些课程,与其他的安全专家保持沟通。
3、设置和强制密码策略
如果你还没有实施密码策略的话,现在是时候了。确保所有密码都达到一定强度的,每30天或者60天进行更改。这还适用于无线安全密码以及任何连接到无线网络的BYOD设备。是的,定期更改密码可能令人痛苦的。但是如果你认真对待所有层面的安全性,这就是必须要做的。
4、不要提供开放无线网络
是的,对于一些公司来说,向公众提供无线网络是有必要的。但是,这并不意味着公共Wi-Fi网络必须是无密码的。设置公共密码,要求客户从管理员辅助获取。设置策略每周更改公众无线密码。如果可能的话,可以更进一步,确保公众无线网络是无法连接到你的业务网络的(即使这意味着要购买另一条通道)。
5、严惩违反策略的人
你终于成功设置好了所有安全策略,尽可能让你的公司保持安全。如果有员工破坏了这些策略,企业的数据就不再安全了。安全策略对违反者应该是零容忍。任何范围的人必须承担后果。这可能是一个难啃的硬骨头,但你一旦树立了对策略的坚定支持的态度,你的安全策略就更容易执行。这样理解的话,可能意味着在某些情况下要开掉某些员工。但是如果这能确保数据安全的话,就这么做吧。
6、要求两步认证
我总是惊讶地发现很多方面都不是默认两步认证。如果你的公司使用Google的话,你应该要求对每个帐户进行两步认证,使用Google Authenticator。你的内部服务器也应该始终这种类型的系统(你甚至可以在Linux SSH服务器上采用两步认证)。
7、可能的时候使用Chromebook
这些低成本的设备实际上能帮助你提高公司的安全性,这可能是你没有想到的。首先,如果你的公司使用Google及其两步认证(如上),你已经领先于别人一步了。但是再加上Chromebook,你就知道你的用户没有安全可能会入侵你的网络的第三方软件。在设计上,Chrome OS是目前最安全的平台之一。是的,有些人发现它是有局限性的。但是考虑到公司的员工大部分工作都是在浏览器内完成的,所以当安全性是首要问题的时候,Chromebook可能是理想的解决方案。
8、正确评估新员工
有些时候安全漏洞并不总是黑客盗取数据的形式,而是一些社交设计使其被掌握在一些邪恶的员工手中。我们不太可能了解新员工的全部过去和意图,但尽可能多地了解新员工,这是你的职责。
9、摆脱纸质文件
纸质资料可能轻易落入坏人之手。除非你有一个功能强大的文件粉碎机(并且经常使用它),如果错误的人在错误的时间捡到了错误的文件,你就可能冒着泄漏数据的风险。设置一项规定,所有企业数据都只保存为数字格式,数据必须保存在企业LAN内的硬件上。
10、采用全磁盘加密
如果你真的关心数据安全的话,你应该在服务器、数据驱动器、台式机、以及移动设备上采用加密功能。使用加密很可能意味着你的IT员工不得不忍受漫长的夜晚和和噩梦,但是这种停机时间是值得的。最后,你的数据会得到强化的保护。
数据安全是一个不断移动的目标,你需要随时盯紧它。如果你不愿意做出一些改变的话,拖着难以执行,那么你的公司的数据可能很容易受到威胁。除了少数例外,这里罗列的安全“升级”应该都是很容易发挥作用的。
原文发布时间为:2016-7-14
本文作者:孙博