信息來源：安全內參

如今，網絡犯罪事件呈上升趨勢，網絡攻擊也變得越來越快、越來越微妙和越來越復雜。與網絡攻擊相關的數據泄露數量在2021年增加了27%，這一上升趨勢并沒有放緩的跡象。

不良的安全習慣(例如多次使用同一個密碼)可能看起來無害，但未經檢查的不良行為或壞習慣可能會使企業(yè)面臨毀滅性的打擊。

這樣的壞習慣可能使企業(yè)損失數百萬美元。例如，2021年發(fā)生的每起數據泄露事件的平均損失為424萬美元，達到了17年以來的最高水平。

如果黑客攻擊了企業(yè)的服務器并竊取了機密數據，則可能意味著企業(yè)業(yè)務的終結。以下介紹了安全團隊6種最常見的壞習慣以及如何修復，以便企業(yè)更好地保護數據并防止惡意攻擊。

1、密碼安全性差

60%以上的數據泄露事件涉及密碼被盜或防護薄弱。例如使用同一密碼、共享密碼、將密碼寫在便箋上。安全專家指出，很多人一直在這樣做。因此，不要讓網絡攻擊者的行為更輕松。

如何克服：建立企業(yè)范圍的密碼策略，使用密碼管理器，并啟用多因素身份驗證，以降低未經授權的帳戶訪問風險。企業(yè)的密碼策略應該包括有關創(chuàng)建強密碼的指南、密碼多久更新一次，以及如何在員工之間安全地共享密碼的說明。

2、復雜的流程和政策

從入職清單到隱私政策，這些文檔應反映企業(yè)的團隊如何完成工作并在日常工作中使用，而不是在制定之后然后遺忘在某個文件夾中。必須定期考慮這些政策，并根據觀察到的挑戰(zhàn)和風險進行改進。

如何克服：為企業(yè)的團隊建立定期的政策審查和驗收。主動尋求反饋意見，以確保政策和流程反映其團隊實際完成工作的方式，并獲得全體員工的支持。

3、采用過時的軟件和不安全的設備

遠程工作多年來一直在增長，但在過去兩年中，企業(yè)員工工作的地點、時間和方式發(fā)生了翻天覆地的變化。盡管有諸多好處，但在家遠程工作的興起也帶來了重大的安全挑戰(zhàn)。

越來越多的人使用不安全的Wi-Fi、混合工作、采用個人設備、跳過定期數據備份和軟件更新等，而最終成為讓企業(yè)陷入困境的最薄弱環(huán)節(jié)。

如何克服：使用設備管理解決方案進行自動軟件更新和補丁，制定移動設備使用策略，并鼓勵員工僅使用企業(yè)設備和安全VPN訪問敏感數據。

4、缺乏內部審計計劃

即使企業(yè)已經建立了適當的安全政策和程序，也必須將它們視為活動文檔。持續(xù)測試和定期內部審計對于了解企業(yè)的安全計劃是否成熟，以及保持對新興威脅和不斷升級的威脅的認識至關重要。

如何克服：制定內部審計計劃，至少每年審查一次企業(yè)的安全狀況，并找出改進的機會。這也將確保隨時了解需要解決的威脅形勢的任何變化。

5、沒有對員工進行安全培訓

網絡釣魚和惡意軟件是一些最常見的安全事件來源，包括勒索軟件。企業(yè)需要定期對員工進行最佳安全實踐培訓，并確保每個人都知道安全是組織范圍內的優(yōu)先事項。

如何克服：至少每年進行一次安全意識培訓。隨機并定期測試員工/用戶，以確保他們了解并遵循最佳實踐。

6、僥幸自滿

很多企業(yè)認為違規(guī)或安全事件并不會發(fā)生在他們身上。安全性和合規(guī)性不僅僅是IT部門關心的問題。企業(yè)中的每個人(從執(zhí)行團隊和董事會成員到最新入職的員工)都應該了解企業(yè)面臨的威脅以及他們在保護客戶和企業(yè)數據安全方面的角色和責任。

如何克服：努力營造一種優(yōu)先考慮安全并了解其重要性的企業(yè)文化。確保所有員工了解他們在保護客戶和業(yè)務信息安全方面的角色和責任，并清楚地傳達遵循既定政策和程序的好處。

大多數安全威脅和風險都是可以實施系統(tǒng)性預防的，通過常識性方法、持續(xù)合規(guī)性測試、評估、審計和衡量來解決。企業(yè)對員工進行這些實用方法的培訓越多，他們就越有可能成功避免代價高昂的數據泄露或安全事件。