在英国的地铁轨道边缘有一个牌子写着“Mind the gap”,警告乘客当心站台和火车之间的空隙。企业主在考虑自身安全问题时也可能会考虑这些词。当保护数据的计划尚未完全实现时,安全预防措施易于穿过裂缝。

这就是为什么制定网络安全政策很重要。

随着违规行为成为新常态,制定网络安全政策不仅仅是为了保全面子,还可以节省资金、数据和宝贵的员工资源。每年,世界各地都发生数千起黑客入侵事件,导致超过10亿份个人身份信息记录被盗。根据波耐蒙研究所的研究2015年数据泄露成本研究,数据泄露的平均总成本在过去两年中增加了23%至379万美元。

Malwarebytes的企业架构师Davis Truong说:“企业的可持续发展取决于每个员工的工作,包括内部和外部。”必威平台APP“一个人的行动可能会导致整个业务的数据遭到泄露,从知识产权到财务数据。”

入门

网络安全策略可以从单张一张单页概述的尺寸范围内容,以便用户对50页文档的认识,以涵盖将干净的桌面保持对网络安全的一切。SANS学院提供模板对于创建这样的政策,如果你正在考虑开发一个更健全的计划。

理想情况下,公司的网络安全政策应该被记录、审查和定期维护。实际上,很多中小企业没有人力。即使是创建一个涵盖最重要领域的简短指南,也会对保护你的企业大有帮助。

合规

看看联邦政府或你所在行业提出的网络安全法规,对制定网络安全计划是很有帮助的。首先也是最重要的是,你需要确保你在法律范围内运作。例如,如果您是处理受保护健康信息的业务实体,则必须具备特定的管理、物理和技术保障措施。的HIPAA安全规则要求组织,他们的业务伙伴,甚至他们的分包商维护和执行书面政策和程序,以保护数据和技术。

基础设施

一个经过深思熟虑的网络安全政策概述了哪些系统应该到位,以保护关键数据免受攻击。这些系统,或基础设施,告诉IT和其他管理人员他们将如何保护公司的数据(将使用哪些控件),以及谁将负责保护它。

您的网络安全政策应包括有关控制的信息,例如:

  • 将实施哪些安全程序(示例:在a分层安全环境,端点将使用防病毒,防火墙,防恶意软件和防爆软件进行保护。)
  • 如何应用更新和修补程序才能限制攻击表面和插件应用程序漏洞(例如:浏览器的频率,操作系统和其他互联网的应用程序更新。)
  • 如何备份数据(示例:自动备份到加密的云服务器,并进行多因素身份验证)。

此外,您的政策应明确识别角色和责任。包括了:

  • 谁发布了该政策,谁负责维护
  • 谁负责执行该政策
  • 谁将培训用户安全意识
  • 谁回应并解决了安全事件以及如何
  • 哪些用户拥有哪些管理权限和控件

雇员

建立一个成功的网络安全政策的最关键步骤是为员工记录和分发可接受的使用条件。为什么?无论防御有多强,用户都可能通过落入网络钓鱼骗局、在社交媒体上发布安全信息或泄露证书,给公司的网络带来威胁。根据2014年IBM网络安全情报指数,超过95%的调查威胁事件涉及人为错误。

您的网络安全政策应明确沟通用户的最佳实践,以限制攻击和改善损害的潜力。他们还应该允许员工适当的自由,他们需要富有成效。例如,禁止所有互联网和社交媒体使用情况肯定会帮助您的公司免于在线攻击的安全,但(显然)是适得其反的。可接受的使用指南可能包括:

  • 如何检测社会工程战术和其他骗局
  • 什么是可接受的互联网使用
  • 远程工作者应该如何访问网络
  • 如何监管社交媒体的使用
  • 可能使用密码管理系统
  • 如何报告保安事故

此外,员工政策还应涵盖用户未能遵守指南时会发生什么。例如,如果由于违规是违约之外,可能需要在疏忽或终止,重复培训,或者如果违规是一个内部工作,则可能需要雇员对违规负责的雇员。

下一步

建立和记录网络安全政策只是保持业务安全的第一步。创建了策略后,您需要提出部署它的策略,维护它,维护它,培训用户,并使其负责。留意本系列中的未来文章以提供帮助。