对于没有内部网络安全专家的小公司,他们应该先问自己什么问题,然后才知道下一步该做什么?
尽管没有内部网络安全专家,但大多数公司都有一些处理其技术的管理服务提供商(MSP)。 我的建议是确保这些托管服务提供商处于安全之上,并向他们询问安全意识培训计划。 尽管存在风险,但许多小型托管服务提供商尚未建立任何安全意识培训计划。 不幸的是,许多客户不得不在这方面提倡自己。
你能谈谈在技术和培训之间达到正确的安全平衡,以及人类因素在2018年扮演什么角色?
大多数黑客是我喜欢称之为“矢量不可知”的。 这意味着他们不关心他们是否通过一个奇妙的“0天”恶意软件漏洞进入系统,或者他们打电话给你,让你交出你的登录信息。 它们更像是水从阻力最小的路径进入你的系统。 目前,大多数技术系统,无论是Google,Okta还是C3 / SAP系统都内置了安全性。 它们很难渗透,因为软件市场已经要求在这些系统中建立安全性。 当您向这些公司支付SaaS订阅时,您已经为安全付费。
对于人员也不能这样说。 虽然我建议让所有系统保持最新状态(特别是安装了Windows的软件),但安全漏洞几乎总是会以直接攻击你的员工的形式出现。 诀窍是永远不要被你的技术蒙蔽,认为你不需要培训。 人的因素是组织中最脆弱的部分。 培训是确保漏洞不会变成违规的方法。
更多精彩资讯,欢迎关注明硕股份重大件国际物流领航者!