讓公司高階主管準備好面對網路攻擊

先前的部落格貼文中,我分享了使高階主管交出優秀工作表現的原因 (他們能夠看到和存取的資料) 也可能使他們成為主要攻擊目標。 因此,接下來要討論的問題是,如何讓他們為網路攻擊作好準備,同時又能保護和維持公司的目標? 以下是我們大家都應該採用的一些簡單的最佳做法。

  • 假設遭駭情形 這項討論的最佳出發點是假設高階主管遭受網路攻擊,並且假設他們遭遇駭客入侵。 假設您的企業的高階主管 (以及所有相關員工) 會犯錯,而這些錯誤將導致漏洞產生。 隨著現今數位世界企業的飛速成長以及對於高階主管的眾多要求,他們很容易開啟惡意電子郵件的附件,或是把智慧型手機放在機場候機室中,而使企業面臨網路攻擊。 畢竟我們都是人,是人就會犯錯誤。
  • 如果您不信任網路,就不要連線到網路 所有高風險人士,尤其是有權存取敏感性業務資料的高階主管,都務必使用可信的網路連線。 如果必須連線到不可靠的網路,例如免費的機場 Wi-Fi 或當地星巴克網路,請務必使用 VPN 將流量引導到您可以信任的網路。
  • 管理家用網路 不可靠的家用網路不僅是個人問題,也是公司的問題。 如果貴公司高階主管的家用網路安全措施薄弱而管理不善,那麼問題又回到了原點。 使用較弱的 IoT 裝置作為主機的家用網路,或韌體過期又使用預設密碼的路由器,與最糟糕的公共 Wi-Fi 同樣危險。 同樣的,開始假設遭駭情形,預想網路攻擊並採取預防措施。
  • 使用智慧型多因子驗證 既然要假設高階主管會遭遇駭客入侵,他們就必須為關鍵的應用程式和服務,設定智慧型多重要素驗證。 基於知識的驗證 (「請確認您母親的娘家姓氏……」) 並非可行的解決方案。 透過快速的網際網路搜尋,就可以清楚知道高階主管高中的吉祥物、母親的娘家姓氏或最喜愛的寵物的名字。 多因子驗證還有很多基本個人知識以外的選擇。 請善加運用。
  • 實施最低特殊權限 公司通常都希望其高階主管能夠獲得他們可能需要的所有存取權限。 我看過一些存取管制計畫,基本上可以為企業高階主管提供所有關鍵系統的存取權限 (有備無患,說不定什麼時候就會用到)。 但是,在假設遭駭的情況下,我們還必須考慮最低特殊權限。 除非有人經常需要用到某種存取權限,否則請不要給他這項存取權限。 對於關鍵系統,請考慮採用細粒度存取控制,此方式包括自助式存取要求,以及自動佈建和取消佈建。 在適當的時間為適當人員提供適當的存取權限,然後在不再需要時將存取權限收回。 這應該是由上而下都實施的安全性原則。
  • 實體安全不只是名牌識別證這麼簡單 提到「實體安全」,大多數人會想到上鎖的門、名牌識別證和尾隨。 但是實體安全遠遠不止於此,它還包括您週圍的空間,以及可以看到高階主管螢幕的人。 我們在坐飛機時總是會往後看或是看向隔壁的座位,或許會在筆記型電腦上看到什麼東西。 為高層主管提供帶防窺貼的螢幕,既便宜又簡單。 它有助於提醒每個人,除了一行不良的程式碼外,視線也可能造成資訊外洩。
  • 教育和意識。 許多企業規定可以為高階主管開方便之門,唯獨安全性教育和安全性意識不應有例外。 他們很忙,也因此常常錯過安全性訓練。 IT 部門往往為高階主管提供各種破例通融。 IT 部門可能會在員工尚未完成安全訓練時,將員工的網路存取權限關閉,但卻不會對執行長這麼做。 但是,高階主管迫切須要瞭解我們所有人都需要牢記的風險和緩解措施。

總之,安全性措施就像企業的任何其他措施一樣。 為了使得措施成功,必須從上至下開始實施。 企業的高階主管應該是公司的主要安全性宣傳員,向公司員工表明,基於公司利益以及公司資訊安全性的考量,他們也願意在便利性和控管之間做出正確的權衡。


討論

貴公司可節省多少成本

立即瞭解詳情