保护您的公司免受网络攻击的安全并不像实施端点保护软件那么简单。 您将需要培训每位员工,以知道每天上班前,下班后和下班后要寻找什么。 网络钓鱼,物理盗窃和垃圾邮件之类的内容可能会严重损害您的业务。
我与国家网络安全联盟执行总监Michael Kaiser进行了交谈,谈到公司应通过多种方式向员工提供信息和工具,以使他们警惕潜在的网络攻击。 对团队进行培训后,您或您的IT部门就可以从Bitdefender,卡巴斯基实验室和Symantec等公司提供软件来帮助维护网络和设备安全。
1.提供网络钓鱼和垃圾邮件培训
商业电子邮件妥协(BEC)攻击目标公司的骗局消息是从不知情的收件人中提取信息。 BEC攻击的一个很好的例子是伪装成公司首席执行官的某人向公司人力资源(HR)部门发送的欺诈性电子邮件。 人力资源经理在没有意识到自己被骗的情况下,很乐意将员工个人数据发送给骗子。
您可以培训您的员工查找这些电子邮件或任何其他类型的垃圾邮件攻击,以便他们在收到看似可疑的内容时可以警告IT。 您还可以购买网络钓鱼模拟器培训工具,这些工具会试图诱骗员工单击错误的电子邮件。 那些点击攻击模拟电子邮件的员工显然将需要更多的培训和教育。
2.创建可接受的使用政策
您的员工不必在工作中自由使用公司设备。 例如,教他们被允许进入哪些网站。 教他们可以下载哪些文件。 让他们知道哪些无线网络是公司发行的并且可以安全使用。
制定好政策后,定期与团队重新制定政策很重要。 如果您不总是强调可接受的协议,那么您的员工可能会忘记它,或者会变得自满。
3.提供强大的密码培训
Kaiser说:“新的智慧是不要过于频繁地更改密码,因为每次更改密码都会使新密码变得越来越弱。” 因此,请与您的IT部门联系,以找到合理的密码更改频率(具体因公司而异),并立即开始使用该频率。
此外,您将需要培训您的员工以创建强密码。 包含超过7个字符,大写字母,数字和符号的任何内容都应足够强大,以防止随意攻击。 但是,您将建议您的员工不要在提示他们创建新密码时简单地更改其中一个字符。 相反,它们应该从头开始,以新的字母,数字和符号序列表示。
4.教员工报告问题
即使您的员工点击或下载了他或她不应该下载的内容,报告所有威胁也很重要。 如果您让您的员工对举报违规行为感到安全,以便扭转损失或防止入侵,那么您的团队更有可能挺身而出。
凯撒说:“你必须营造一种非责备的气氛,使人们即使提出了错误也可以提出问题。” “对于企业而言,了解潜在问题比实际情况更为重要。”
5.使用正确的设备管理
如果需要手动更新软件,员工流氓或需要远程擦除丢失或被盗的设备,则移动设备管理(MDM)软件将为您提供帮助。 但是,如果您的公司规模太小或技术能力不足,无法维护整个设备,那么您将需要培训员工,以物理和数字方式妥善保管他们的设备。
确保您的员工知道有新更新可用时,他们需要更新所有软件。 这些更新通常包含安全漏洞修复程序。 如果没有更新,该漏洞将继续存在,从而使黑客可以访问设备,甚至可能访问整个网络。
Kaiser说:“确保他们始终了解设备的物理安全性。” “确保他们没有把设备留在无人看管的地方,并且要确保设备在车辆中存放正确,因此不可见。” Kaiser还说,培训员工了解设备的物理限制很重要。 它们防水吗? 它们防尘吗? 设备的安全高温和低温阈值是多少?
此外,还要求通过生物识别读取对每个存储公司数据的设备进行密码编码或打开。 这是一个简单的规则,即使使用个人设备,每个人都应该遵循,但是对于您的天真或固执的员工,值得重申。
6.进行远程访问和Wi-Fi培训
如果您担心安全性(绝对应该这样做),请立即设置虚拟专用网(VPN)。 如果有任何员工在远程工作,则他或她应始终在所有活动中使用该VPN。
您还应该制定有关员工不在办公室时如何使用Wi-Fi的政策和程序。 他们访问的Wi-Fi网络应受密码保护,并具有强大的安全性设置。 当您的员工使用智能手机和平板电脑时,他们应该始终选择使用设备的蜂窝数据计划,而不是使用未知的Wi-Fi网络。
