網路安全 - 這不是IT問題

對於許多組織、投資辦公室和其他組織來說，網路安全在某種程度上是一個謎。不幸的是，投資辦公室的網路安全缺乏明確性，導致管理層對最佳方法產生了許多誤解。

對於所有組織來說，重要的是要持有網路安全不僅僅是IT問題的觀念。許多組織之所以做出這種假設，是因為他們擁有內部技術專長，他們的網路暴露是技術人員需要擔心的事情。

但是，計算機和訪問設備不再只是IT部門的一部分。人們在許多設備上訪問公司的網路，每個設備都有漏洞。IT部門可以設置防火牆和其他防禦措施，但是，在管理網路風險時，員工，使用者管理和策略也很重要。

RIA 的網路安全提示

員工

安全鏈中最薄弱的環節是人為環節。我們可以使用市場上所有卓越的技術工具和安全產品，但如果我們沒有使用者的正確意識和知識，它們仍然是最大的威脅。

風險來自一些簡單的事情，比如在午餐時在空蕩蕩的辦公室里打開電腦，或者在咖啡店離開筆記型電腦。當然還有更複雜的
場景，但這通常是它開始的地方。

政策

制定員工賴以生存的安全策略是重要的第一步。下一個重要步驟是確保員工瞭解並遵守這些政策，並且他們知道如果他們違反這些政策的後果。這意味著在發生違規行為時，需要進行培訓以提高意識並圍繞這些政策進行溝通。

管理者必須承擔起這一挑戰的責任。事實勝於雄辯。他們必須表現出對保護和教育員工瞭解政策的興趣，遵守這些政策並積極主動地就潛在的安全問題進行溝通。

軟體

雖然大多數軟體確實帶有一些安全措施，但它們可能不是開箱即用的，它們可能需要設置一些參數並激活選擇。然而，在許多情況下，還需要考慮其他任務，以灌輸對這些應用程式安全性的信心。這些活動通常是IT組織職責的一部分，但是，它需要每個員工的合作，以確保遵循正確的流程以最大限度地降低風險。

最佳實踐

員工、政策、教育和意識都是網路安全最佳實踐的一部分。但事實是，這是整個組織的問題，每個人都在安全方面發揮作用。以下是我們最近與客戶分享的最佳實踐清單。

• 向所有員工傳達組織中的每個人都在數據中扮演的角色
  安全。
• 從媒體發送有關新聞中安全漏洞的最新資訊。
• 在招聘期間進行員工背景調查。
• 確保所有員工都閱讀了當前的數據安全政策，從高級管理層開始。
• 執行清晰的辦公桌政策，規定所有檔等在不使用時必須安全存放。
• 對物理和數位檔應用不同級別的訪問，並測試訪問。
• 不鼓勵使用公共Wi-Fi，並在“旅途中”使用手機數據。
• 僅允許有限數量的使用者在外出訪問客戶端數據。
• 對有權訪問公司數據的計算機和任何設備實施密碼保護。
• 對物理和數位檔應用不同級別的訪問，並測試訪問。
• 不鼓勵使用公共Wi-Fi，並在“旅途中”使用手機數據。
• 僅允許有限數量的使用者在外出訪問客戶端數據。
• 對有權訪問公司數據的計算機和任何設備實施密碼保護。
• 每 90 天強制更改一次密碼。
• 不要廣播公司 Wi-Fi 網路名稱。
• 沒有包含公司數據的U盤可以帶出辦公室。
• 定期測試IT系統和安全程式，以協助執行。

此清單當然不是詳盡無遺的，但確實展示了每個員工如何説明或阻礙公司數據的安全性和風險。鼓勵員工報告違規行為和已知風險，並將安全作為公司定期會議和討論的一部分。

如果每個人都知道自己可以發揮作用，並了解他們如何説明降低風險，那麼您將圍繞公司數據和安全性創建一種理想的文化。