通常,公司并不认为需要制定网络安全政策。现有的政策是为了保护公司的资产,而数据也是一项资产。
网络安全政策的真正必要性很简单:网络安全并不像锁门或不偷公司笔那么简单。在许多情况下,网络安全问题并非来自恶意,而是来自无知。
打开错误的电子邮件、不保护个人设备或连接受感染的便携式存储设备比网络犯罪分子的暴力攻击更有可能使您的系统受到损害。
网络安全政策应经过深思熟虑和规划。它需要自上而下的每个人的认同和承诺。
获得高层管理人员的支持
启动网络安全政策和计划的关键是获得高层管理人员的支持。如果 C 级员工和高级管理人员不致力于这个想法,它将一事无成。他们才是掌舵人。
高层管理人员将为如何实施这项政策定下基调。同样重要的是要注意并确保董事会成员了解,许多网络钓鱼诈骗都是针对他们的,或使用 C 级高管的名义从公司窃取资金。
选择一套指导方针
显然,要制定政策,您需要制定指导方针。这些指导方针需要应对网络世界的整体威胁,例如网络钓鱼,以及您所在行业的特定需求,例如个人健康信息或证券数据。几乎每家公司都需要制定指导方针,其中包括员工的个人信息和专有数据。
1. 您必须遵守哪些行业法规?
许多行业都有法律和法规来管理他们可以处理的数据以及如何处理这些数据。上述两个例子,医疗保健行业和证券行业,都有非常明确和严格的规则需要遵守。其他有指导方针的行业包括任何接受信用卡的公司、任何接受信用信息的公司以及任何接受个人数据的企业,例如物业经理。
从这些法律、法规或指导方针开始,将使您不必重新发明轮子。例如,在 HIPAA(医疗保健行业)的情况下,法律足够详细,几乎可以成为一套完整的指导方针。
2. 您需要保护哪些特定类型的数据?
要了解如何保护某些数据,首先要知道您需要保护哪些数据。同样,医疗保健行业是一个明显的例子,但每家拥有员工的公司也需要保护这些数据。在制定公司政策时,不要忘记,被拒绝的信贷申请和工作申请等也是需要保护的数据。
3. 哪些程序和硬件必须得到保护?
了解哪些软件及其附带硬件需要得到保护可能是一个艰巨的过程。显而易见的程序是计时软件和电子邮件系统,但不要忘记连接的制造机器,甚至员工的私人手机。
办公室中很少有计算机完全与互联网或内部网络断开连接。即使您从未打开过计算机上的 wifi 卡,也很有可能它是在过去十年或十五年内制造的,有一张。
它可以在您不知情的情况下被激活。最安全的做法是假设每个程序和每件设备都可以连接到网络,因此容易受到攻击。
4. 您需要什么样的密码规则和互联网使用指南?
您使用的密码保护级别通常就是防止入侵者入侵所需的全部内容。如果您没有任何指南,那么每十个人中就有一个人会使用“password”。您的密码策略应要求最少包含字符数以及非字母数字字符。这里有一个警告。
如果您设置的密码过于复杂或让人们过于频繁地更改密码,他们很可能会将密码写下来,这就违背了制定良好密码策略的目的。
这通常是一个争议点。谁来监督政策的问题将归结为两个因素:
1)谁能最有效地将信息传达给员工;
2)谁最清楚地了解威胁。
显而易见的选择是 IT 部门的负责人,但这些人往往不善于沟通。有时最有效的做法是让两个人来做:一个来自 IT,一个来自 HR。他们可以一起制定合理的政策,然后可以很好地教育员工。
6. 采取什么纪律处分?
与商业或生活中的其他任何事情一样,如果没有后果,就不会有后续行动。通常,只有在发生真正重大和痛苦的事情时才会有纪律处分。
与其等待,不如看看导致更大问题的较小步骤。对未更改密码或使用未经授权的数据存储设备进行处罚,可以避免这些更大的事件,确保安全,并向所有人表明你不是在胡闹。
教育员工
当然,如果没有人知道,任何政策都是无用的。除此之外,重要的是要让员工了解为什么需要制定这项政策。这里有一个简单的内容:一家中小型公司的网络安全攻击可能需要花费 100,000 多美元才能修复,其中 60% 以上的企业将在 6 个月内倒闭。这意味着失业。
几乎一半的数据丢失都是由公司内部人员的行为造成的。在获得高质量的防病毒保护之后,培训员工是最重要的事情。
1. 初始教育:公司中的每个人都需要接受有关新政策的培训。重要的是,现场的高层管理人员,无论是首席执行官还是工厂经理,都要参加培训。员工需要明白,这一点非常重要,高层管理人员应该停止工作,只学习该怎么做。
2. 每月提醒:每月发送一封有关网络安全以及员工可以做什么和应该做什么的电子邮件是让他们牢记网络安全的好方法。恐怖故事、公司政策和幽默相结合是让人们阅读邮件的好方法。您还应该看看谁没有打开电子邮件。他们很可能是不更改密码和不认真对待政策的人。
3. 反复重申规则:每季度召开一次会议或在轮班前会议上提及规则的指示,将在很大程度上让每个人都保持警惕,并明白他们需要保持警惕。
监控并更新政策
任何政策都不应一成不变。务必每年或每六个月重新审视您的网络安全政策,以确保其与最新技术和威胁保持同步。
例如,最近勒索软件的兴起应该改变公司处理红屏勒索的方式。这将代表政策和协议的改变,需要向团队传授。
1. 注意不断演变的威胁:网络犯罪分子不断寻找新的方法来窃取信息。跟踪这些犯罪的演变,了解如何更改您的政策来保护自己。
2. 更新以适应软件变化:软件条款和条件经常变化。有时,公司会决定放松其安全程序。这并不意味着您的公司可以或应该这样做。跟踪可能产生问题的更改有助于避免第三方软件造成的漏洞。
3. 从自己和他人的错误中汲取教训:您的公司会遭遇数据丢失。这是必然的。通常情况下,数据丢失是无害的,因为您知道数据去了哪里,也知道数据被毁了,但这种情况会发生。确保您的政策反映了您和您的公司所学到的经验。
让自己更轻松
制定此类政策并让员工接受培训的最简单方法之一是聘请网络安全公司来处理。他们手头有基本政策,可以帮助找到您的所有资产。
当出现问题时,例如“我需要做什么来保护我的手机?”他们会给出答案。
这是一项大工程,外包可能是做好它的最佳方式。