中小型企业 (SMB) 无法免受网络攻击,但他们却在不断变化的威胁形势中挣扎,并了解如何最好地管理风险。
在本月早些时候的“中小型企业网络安全圆桌会议:应对复杂性和增强弹性”期间,Sage 召集了一群来自小型企业、政府机构和非营利组织的首席信息安全官和其他网络安全专业人士,讨论中小型企业及其企业面临的一些最大问题。保护公司资产的能力。中小企业和非营利组织面临的最大挑战包括:
- 人为因素。 员工不断犯错误,例如点击网络钓鱼电子邮件中的链接或允许对其设备进行不受保护的访问,从而使公司网络面临风险。
- 第三方合规需求。 合作伙伴组织、承包商、供应商和其他第三方实体要求中小企业满足其网络安全要求,尤其是那些受到严格监管的组织,例如金融机构。
- 各州和国家的数据隐私法。 不满足这些合规要求可能会导致制裁和罚款。
- 混合劳动力。 当员工远程工作(甚至部分时间)时,中小型企业不再对设备和在线行为进行同等程度的监督。
- 目标平台和行业。 威胁行为者会寻找使用旨在筹集资金或收集大量个人信息的应用程序的组织。
- 不断变化的威胁形势。 新的攻击媒介、新的恶意软件和新的威胁参与者似乎每天都会出现。
一项新的调查显示,近一半的中小企业在过去一年中经历过网络安全事件 向圣人学习。尽管全球 69% 的受访者表示网络安全是其公司文化的一部分,但几乎相同数量的受访者在发生事件之前才考虑这一点 — 只有十分之四的受访者表示他们的公司定期讨论网络安全。
网络安全不一定要昂贵
攻击发生后,现在开始讨论如何保护网络和公司为时已晚,但许多中小型企业没有适当的系统。例如,根据 Sage 的研究,46% 的中小企业不使用防火墙,19% 的中小企业仅依赖非常基本的工具。
是的,网络安全可能代价高昂。 企业公司 最多可以有 100 个安全工具 正在使用。 然而,对于中小型企业来说,这并不一定那么复杂,有些方法甚至可以是免费或廉价的。
首先创建一个 内部风险计划 Vaillance Group 首席执行官 Shawnee Delaney 在圆桌会议期间建议,该机构负责监督整个公司的安全政策,重点关注员工行为。
“这需要你进行对话,有时是一次令人不舒服的对话,因为没有人愿意认为自己的员工可能会做一些恶意的事情,”德莱尼说。 “但事实是,绝大多数(网络事件)都是无意的。”
管理人类就业生命周期对于有效的网络安全系统至关重要。德莱尼补充说,它从面试和招聘过程开始,确保你拥有一个文化契合度高、愿意认识网络安全如何融入组织结构的人。聘用后,请遵循强调基本安全卫生的入职流程,包括最低权限和按需访问。当员工离开时,确保 离职流程 完全断开访问。
个性化安全培训
由于人与网络安全之间存在联系,小公司中的每个人(从首席执行官到下)都必须对威胁有一个基本的了解。 有很多安全意识培训选项,但中小型企业最好避免采用一刀切的选项。
培训应该是 面向个体工人 基于工作职能以及技术悟性和兴趣方面的代际差距等标准。 年长员工的学习方式通常与年轻员工不同,就像从事劳动密集型工作的员工与整天盯着设备的员工与技术的关系可能不同一样。 不尊重这些差异会导致训练不均匀,最终可能弊大于利。
让网络安全成为一个商业问题
Sage 首席信息安全官 Gustavo Zeidan 表示,有一种趋势,特别是在中小型企业中,将网络安全视为一个 IT 问题,所有知识都集中在技术领域。
更好的方法是考虑 网络安全作为一个商业问题。扎伊丹在圆桌会议上表示,安全文化更好地由高层驱动,管理层需要讨论网络威胁以及他们的业务如何成为攻击目标。
“商界领袖承认这是一个问题,但他们没有谈论它,”扎伊丹解释道。 可能发生的最糟糕的事情是对扰乱业务运营的安全事件毫无准备。
当公司内部发生网络事件时,不要隐瞒。 联邦贸易委员会 (FTC) 提供 方针 应联系谁,包括执法部门、客户和供应商。
但不要就此止步。 与其他企业沟通并讨论解决该事件的策略。 通过以行业为中心的组织或在当地分享此信息 商会 会议——无论您在哪里与其他商业领袖接触。
德莱尼说:“如果你发现了违规行为,请保持开放、诚实,并与其他企业分享你学到的经验教训,以便从业者从中吸取教训。” “我们是否是竞争对手并不重要。 归根结底,这都是国家安全。”
知道去哪里寻求帮助
每家公司,无论规模大小,都需要更多的网络安全专业知识。 无论中小企业如何在安全方面进行投资,网络安全的责任都需要分散到整个公司。
有资源可帮助指导中小企业的安全之旅。例如,网络安全和基础设施安全局 (CISA) 提供了 中小企业网络安全指南 这专门针对个人在小型企业环境中扮演的不同安全相关角色。
圆桌会议小组成员、CISA 技术和创新高级顾问 Lauren Boas Hayes 表示,与各种类型和规模的企业建立合作伙伴关系是 CISA 使命的核心。
“景观正在发生变化;每天都有新的威胁,”德莱尼补充道。
从业者和企业可能会觉得他们正在努力阻止这些新威胁,但对中小型企业来说,好消息是缓解技术已经存在。这只是找到最适合各个公司的计划的问题。
- :具有
- :是
- :不是
- :在哪里
- $UP
- 10
- 100
- a
- 对,能力--
- 关于
- 关于它
- ACCESS
- 根据
- 承认
- 横过
- 演员
- 添加
- 顾问
- 机构
- 机构
- 所有类型
- 允许
- 其中
- 量
- an
- 和
- 和基础设施
- 应用领域
- 的途径
- 方法
- 保健
- AS
- 办公室文员:
- At
- 攻击
- 可使用
- 避免
- 意识
- 当前余额
- 基于
- 基本包
- BE
- 因为
- 行为
- 最佳
- 更好
- 最大
- 违反
- 带
- 建筑物
- 商业
- 商业领袖
- 商业运营
- 企业
- 但是
- by
- CAN
- CEO
- 挑战
- 改变
- CISA
- CISO
- 收集
- 佣金
- 通信
- 公司
- 公司
- 公司资产
- 企业文化
- 竞争对手
- 完全
- 复杂
- 符合
- 复杂
- 关注
- 地都
- 考虑
- CONTACT
- 继续
- 承包商
- 谈话
- 对话
- 核心
- 可以
- 国家
- 创造
- 标准
- 文化
- 文化塑造
- 合作伙伴
- 网络
- 网络攻击
- 网络安全
- 网络安全和基础设施安全局
- 周期
- 天
- 设计
- 设备
- 差异
- 不同
- 讨论
- 讨论
- 讨论
- do
- 不会
- 做
- 不
- 向下
- 驱动
- ,我们将参加
- 此前
- 有效
- 工作的影响。
- 电子邮件
- 出现
- 重点
- 员工
- 员工
- 雇用
- 结束
- 强制
- 企业
- 实体
- 环境
- 特别
- 醚(ETH)
- 甚至
- 所有的
- 每天
- 每个人
- 演变
- 例子
- 昂贵
- 有经验
- 专门知识
- 解释
- 面对
- 因素
- 联邦
- 美国联邦贸易委员会
- 感觉
- 金融
- 金融机构
- 寻找
- 结束
- 防火墙
- 适合
- 遵循
- 针对
- 自由的
- 止
- 联邦贸易委员会
- 功能
- 差距
- 代
- Go
- 非常好
- 政府
- 政府机构
- 团队
- 指南
- 半
- 发生
- 伤害
- 有
- 帮助
- 老旧房屋
- 高度
- 聘请
- 招聘
- 诚实的
- 创新中心
- How To
- 但是
- HTTPS
- 人
- 杂交种
- if
- 免疫
- in
- 事件
- 事故
- 包含
- 个人
- 个人
- 行业
- 便宜
- 信息
- 基础设施
- 創新
- 机构
- 利益
- 专属采访
- 成
- 投资
- IT
- 它的
- 工作
- 工作机会
- 旅程
- JPG
- 只是
- 保持
- 会心
- 知识
- 景观
- 大
- 晚了
- 劳伦
- 法律
- 执法
- 法律
- 领导人
- 学习用品
- 知道
- 学习
- 教训
- 经验教训
- 各级
- 谎言
- 生活
- 喜欢
- 链接
- 本地
- 不再
- 看
- 看起来像
- 制成
- 多数
- 使
- 制作
- 恶意软件
- 管理
- 颠覆性技术
- 许多
- 问题
- 可能..
- 满足
- 会议
- 会议
- 可能
- 使命
- 错误
- 减轻
- 钱
- 月
- 更多
- National
- 国家安全
- 导航
- 几乎
- 需求
- 需要
- 网络
- 网络
- 全新
- 消息
- 没有
- 非营利
- 非营利组织
- 数
- of
- 优惠精选
- 经常
- 老年人
- on
- 前期洽谈
- 一旦
- 一
- 在线
- 仅由
- 打开
- 运营
- 附加选项
- 附加选项
- or
- 组织
- 组织
- 其他名称
- 输出
- 疏忽
- 己
- 部分
- 合伙人
- 过去
- 个人
- 钓鱼
- 地方
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 播放
- 大量
- 政策
- 隐私
- 隐私法
- 市场问题
- 过程
- 过程
- 专业人士
- 曲目
- 保护
- 放
- 提高
- RE
- 承认
- 建议
- 而不管
- 经常
- 监管
- 关系
- 依靠
- 要求
- 岗位要求
- 需要
- 研究
- 弹性
- 资源
- 关于
- 受访者
- 责任
- 导致
- 成果
- 右
- 风险
- 角色
- s
- 说
- 同
- 制裁
- 对工资盗窃
- 安全
- 保安
- 安全意识
- 安全政策
- 似乎
- 前辈
- Share
- 应该
- 尺寸
- 尺寸
- 小
- 小型企业
- 小企业
- 小
- SMB
- 中小型企业
- So
- 一些
- 有人
- 东西
- 有时
- 太空
- 说
- 特别是
- 传播
- 开始
- 州
- Stop 停止
- 策略
- 应力
- 结构体
- 奋斗
- 样式
- 这样
- 肯定
- 系统
- 产品
- T
- 谈论
- 针对
- 科技
- 技术
- 专业技术
- 比
- 这
- 景观
- 其
- 那里。
- 博曼
- 他们
- 事
- 认为
- 第三方
- Free Introduction
- 那些
- 威胁
- 威胁者
- 威胁
- 通过
- 次
- 至
- 一起
- 也有
- 工具
- 最佳
- 对于
- 贸易
- 产品培训
- 真相
- 类型
- 理解
- 直到
- 向上
- 使用
- 广阔
- 厂商
- 非常
- 重要
- 希望
- we
- 乱作一团的痣
- 什么是
- ,尤其是
- 这
- 而
- WHO
- 愿意
- WISE
- 中
- 工作
- 工人
- 劳动力
- 加工
- 远程工作
- 合作
- 全世界
- 最差
- 将
- 年
- 但
- 您
- 更年轻
- 您一站式解决方案
- 和风网