中小型企業常見網路安全錯誤盤點與應對

中小型企業應如何生存下去?通常我們的關注點主要聚焦在業務規劃、營銷策略、吸引額外投資等方面，但很少有人提及建立穩固的網路安全系統。然而，缺乏對網路威脅的清晰理解可能會使中小型企業喪失成功的機會，本文討論了一些典型的網路安全錯誤，以及應對措施。

典型的網路安全錯誤

中小型企業在發展成為一家成熟企業的過程中，可能會犯哪些網路安全錯誤?

給予員工過多的訪問許可權

通常來說，當中小型企業員工需要訪問公司資源或服務時，他們會立即獲得管理員許可權。共享這些訪問許可權的人通常認為，在不瞭解特定員工的真正需求及其職責的情況下，一次性授予對所有內容的訪問許可權要比每週授予新的訪問請求更容易。但是，員工擁有的訪問許可權越多，出錯的可能性就越大。如果企業想最大限度地減少網路事件的數量，每個工作流參與者應該只擁有其任務所必需的訪問許可權。

缺乏資訊儲存規則

一般來說，這對任何企業都是不利的。但在創業公司，由於存在員工高流動率問題，企業可能會在某一天根本找不到重要的工作檔案。它們很可能存在於某個地方，但究竟在哪裡卻無從得知。也許會有開發人員或營銷實習生曾經知道這件事，但他們可能在沒有告知任何人的情況下就離開了公司。

密碼管理混亂

另一個常見問題是遺忘了企業社交網路或其他很少使用的服務密碼。也許一位新員工建立了Facebook或LinkedIn賬戶來幫助企業推廣業務，但未能與其他員工分享賬戶資訊，就匆匆離職或轉崗擔任另一個角色——登入憑據已經消失，幾乎沒有恢復的機會。

有些企業可能會認為，在員工高流動率的情況下，使用共享賬戶可能是個好主意。但是，知道密碼的人越多，由網路釣魚、疏忽或惡意意圖而發生資料洩露的可能性就越大。此外，當安全事件發生時，它會極大地增加企業對事件調查的難度。

另一個與密碼相關的錯誤是，企業將某個檔案儲存在雲中，這意味著任何知道該連結的人都可以訪問它。這樣做的明顯好處是，將必要的資訊非常方便地傳遞給所有員工。然而，這樣的文件可以被搜尋引擎索引。換句話說，包含企業所有密碼的檔案可能會落入壞人之手。

身份驗證不足

如果中小型企業沒有忽視工作賬戶的雙因素身份驗證，那麼與密碼相關的一些問題就不會那麼危險了。雙因素身份驗證使企業可以保護重要資料免受各種侵害，例如網路釣魚。目前看來，首先需要進行雙重防護的是金融行業。

應對網路威脅的建議

中小型企業避免犯“典型”錯誤，請嘗試遵循以下建議：

• 在授予員工對資源或服務的訪問許可權時，應該遵循最小許可權原則。也就是說，員工必須擁有最低限度的訪問許可權——僅足以執行他們的任務;

• 準確瞭解中小型企業的重要資訊儲存在哪裡，以及誰有權訪問它。由此，在僱用新員工時制定指導方針，包括明確定義每個員工需要哪些賬戶，以及哪些賬戶應該僅限於某些角色;

• 成熟的企業網路安全文化有助於防範網路威脅。例如，可以從為員工建立網路安全手冊開始，以便每個人都能保持認知同步;

• 所有密碼都必須儲存在安全的密碼管理器中。這將幫助員工不會忘記或丟失它們，並最大限度地減少外人訪問企業賬戶的機會。此外，還應儘可能使用雙因素身份驗證機制;

• 建議員工在離開辦公桌時鎖定計算機，應該讓員工記住辦公室可以被各種第三方訪問，包括快遞員、客戶、分包商或求職者等;

• 考慮安裝防病毒軟體以保護裝置免受病毒、木馬和其他惡意程式的侵害。

原文連結：

https://usa.kaspersky.com/blog/startup-cybersecurity-mistakes/26135/