如何为您的企业编写完美的网络安全策略

首先，网络威胁持续快速发展，因为犯罪分子在破坏公司和组织为保护其数据而设置的防御措施方面变得非常有效。如果他们没有，那么 2018 年最严重的数据泄露名单就不会包括英国航空公司、T-Mobile、Facebook 和万豪酒店等公司。

其次，网络犯罪分子的许多目标并没有为攻击做好准备。无论是忽视网络空间中的现有威胁，还是没有对网络安全战略进行足够的投资，决策者都在让他们的业务暴露在风险之下。

这一决定的结果是众所周知的：450 亿美元，以及数百万暴露的信用卡号码、姓名、电话号码、地址和电子邮件。不要让这种情况发生在你身上。您已经投入大量精力和金钱来创建自己的企业，因此至少忽略网络安全而将其全部扔掉似乎是不合理的。这就是为什么要仔细阅读以下 4 个要点，以了解如何为您的企业制定有效的网络安全策略并远离网络犯罪分子。

获得员工的支持

除了作为您抵御网络威胁的第一道防线外，您的员工也是链条中最薄弱的一环。缺乏培训会导致过多的不良后果，包括因密码薄弱和违反组织网络安全政策而导致的数据泄露。

哎呀，您保护企业免受数据泄露的策略可能非常有效，但很容易被信息不足或训练有素的员工所犯的一个错误所破坏（是的，很好地培训了这些新人）。

因此，作为企业所有者，您应该明确表示网络安全不是 IT 团队的唯一责任。每个员工都应该有能力保护他们的组织免受网络犯罪分子的侵害，这意味着他们需要培训。

使每个人都必须接受网络安全培训，特别强调新员工。涵盖最重要的主题，包括恶意软件、暴力攻击、密码、网络钓鱼、社会工程等。

分解要保护的数据和系统

首先，确保您的网络安全政策涵盖如何以安全的方式处理客户和其他与业务相关的数据。以下是要记住的内容：

• 您在业务流程中收集的数据和数量
• 您存储所有数据的地方，即云存储
• 现有的数据保护措施，即密码和加密
• 数据备份例程。数据备份的频率和负责此过程的利益相关者。

其次，您需要对用于执行业务流程的系统有很好的了解。这些系统对于保持公司的活力至关重要，包括 ERP 软件、会计等。

网络安全策略应具有以下程序和标准来保护它们：

• 关于更新和备份这些系统的明确规则——以及谁负责实现这一点
• 员工对在公司内部网络中运行的云软件和其他应用程序的访问权限和限制
• 关于访问这些系统的规定；例如，如果您有远程员工，您可能希望为他们提供 VPN 等安全工具
• 用户认证程序。组织需要设置员工如何识别自己的规则（密码策略、双重身份验证等）
• 关于特定事件和安全问题的明确说明。如果发生不可想象的事情，您的 IT 团队应该能够迅速采取行动，将损失降至最低或完全防止损失。

将这两个部分包含在您的网络安全政策中，以便您的员工知道这将如何影响他们的日常工作。此外，您的客户还应该很好地了解一旦他们将私人数据提供给您，您将如何保护他们。

定期进行网络安全审计

不断检查漏洞是保护您的数据免受网络空间中不断变化的威胁的好方法。要做到这一点，请在您的网络安全策略中写下一个部分，清楚地描述对现有 IT 实践和资产的安全审计。

例如，每次审计都应评估用于网络安全的软件和硬件的状态，以及员工对现有网络政策和程序的遵守情况。

虽然我们正在讨论审计问题，但要求业务合作伙伴和供应商进行审计也是一个好主意。由于外部利益相关者的错误，您公司的数据可能会暴露，因此请考虑要求合作伙伴进行 IT 审计。

实现这一目标的一种好方法是在合同中要求它们。例如，在与供应商或合作伙伴签订合同之前，请考虑将此作为强制性合作条件。您不仅可以使您的数据更安全，而且可以保护自己免于承担责任，以防合作伙伴犯下严重错误。

描述如何报告风险

在创建全面的风险报告时，网络安全经理对他们不了解公司的程度感到惊讶并不少见。通常，他们会发现无穷无尽的问题，包括缺乏可靠的员工、硬件、软件、数据库、访问权限和合作伙伴清单。

一个常见原因是许多公司倾向于在本地管理关键任务资产，而不依赖总部的网络安全专家。

麦肯锡的这份关于网络安全的报告描述了一些真实的例子，其中网络安全专家甚至没有意识到没有报告严重风险并暴露了大量敏感数据的事实。这是其中之一：

一家大型制造组织使用第三方公司在其工厂安装关键生产组件。这些设备通过未注册的在线接口连接，导致整个制造环境大量暴露于网络攻击。

换句话说，如果黑客能够访问这些数据，他们就会清楚地了解公司的 IT 系统（工业控制工具、生产中使用的物联网设备等）以及运营技术。

这就是为什么您的网络安全应描述如何实施整体风险报告以使所有决策者都可以使用此信息。上述麦肯锡报告提供了一个解决方案：网络风险仪表板。它通过使用一些呈现以下内容的动态面板来总结风险管理链：

• 风险格局的发展
• 公司对近期网络安全相关事件和事件的分析及应对措施
• 通过评估风险格局定义的最相关的网络风险
• 风险评估及其缓解建议
• 清晰详细的风险缓解程序及其状态。

这是麦肯锡给出的网络风险仪表板的说明性表示。

像这样的网络风险报告策略和工具使公司能够更有条理地积极防御。这就是您考虑在自己的网络安全政策中为此制定策略的原因。虽然此策略最适合大型企业，但此仪表板的许多元素（例如风险矩阵）很容易被小型企业采用。

对您的数据的网络威胁有多种大小和形式，因此您应该为它们做好准备。没有人希望看到他们的业务被黑客攻击，因此您的防御始于编写和实施网络安全策略。

希望本文能帮助您了解从何处开始保护数据，以确保您的业务继续发展。最后的建议：尽快开始制定策略，因为网络犯罪分子不会真正等待任何人为他们的袖手旁观做好准备。