在这个更安全的互联网日,我们与道德黑客和网络应用安全公司合作Detectify,为职场互联网用户和网页开发人员提供安全贴士。这篇文章适用于所有级别的员工。如果你是一个想要创建安全网站的程序员,可以访问Detectify的博客阅读他们的文章web开发人员的HTTP安全头指南.
越来越多的企业正变得有安全和隐私意识——他们应该如此。过去几年,IT部门要求增加网络安全预算的请求被置若罔闻,而今年,情况开始有所好转。事实上,没有什么能与之相比越来越多的安全漏洞为了吸引人们——以及高管们的注意力。
纯粹对事件的反应是坏可怕的方法,以及处理和存储敏感客户信息的组织已经经历了这一艰难的过程。它不仅使企业处于持续的消防模式,而且也是一个迹象,表明它们目前的网络安全姿态可能是不够的,需要适当的评估和改进。
要改善一个组织的网络安全状况,就必须提高员工的网络安全意识。作为他们的第一道防线,合理的做法是教育用户了解网络安全最佳实践,以及最新的威胁和趋势。此外,由为用户提供一套标准为了坚持并维持这些标准,组织可以创造一种有意识的安全文化.
制定这些训练方案需要大量的时间、努力,也许还需要一只胳膊和一条腿。不要气馁。公司可以开始改善他们的安全态势现在通过与员工分享如何在工作时安全地浏览互联网的实用指南,无论是在台式机、笔记本电脑还是移动电话上。
工作时安全上网:指导方针
请注意,以下列出的一些内容可能已经在您公司的员工互联网安全政策中,但如果您还没有这样的政策,下面的列表是一个很好的起点。
确保在工作机器上安装的浏览器是最新的。IT部门可能负责更新远程和内部设备上的员工操作系统(os),以及其他业务关键软件。然而,更新你自己安装的软件,比如你喜欢的浏览器,可能不是他们的工作。浏览互联网的首要规则是确保你的浏览器是最新的。恶意网站等威胁,正如大家所知道的那样,并且利用工具包可以通过过时的浏览器留下的漏洞找到它们的方法。
当您这样做的时候,更新您工作设备上的其他软件可以防止基于浏览器的威胁通过其他方式进入您的系统。如果IT还没有覆盖这一点,更新你的文件压缩器,反恶意软件程序生产力应用,甚至媒体播放器。这是一项繁琐且耗时的任务,但是——我们应该说——更新是拥有软件的一部分。你可以使用软件更新程序让折磨变得更容易控制。只是别忘了更新你的更新程序。
如果你有不再使用或不需要的软件程序,卸载它们。让我们实际一点:如果你已经停止使用某个软件,或者它只是它的一部分,那就真的没有理由保留它了臃肿软件这是你电脑里的。也有可能,因为你没有使用那个软件,它非常过时,让坏人很容易利用它。所以帮你自己个忙,摆脱吧。这样就少了一个要更新的程序。
了解你的浏览器,充分利用它的功能。像Brave、Vivaldi和Microsoft Edge等现代浏览器的发布与它们的前辈有很大的不同。除了吸引人的定制方案,它们还自夸默认是安全的(或隐私的)。相比之下,已经存在很长时间的浏览器在这些方面以及它们的多功能性和性能上都在不断改进。
无论你使用的是哪种浏览器,一定要检查它的设置(如果你还没有),并在配置时考虑到安全和隐私。US-CERT有关于如何保护浏览器的更详细信息,您可以阅读这些信息在这里.
不要访问那些如果你的同事或老板越过你的肩膀会皱眉的网站。大多数员工都知道访问和浏览对工作不安全的网站(NSFW)是禁忌,但他们仍然这样做。问题是,这不仅欢迎恶意软件和其他针对此类网站访问者的威胁,而且还可能导致被指控——无论是否合理性骚扰.浏览色情网站可能会让同事感到非常不舒服,如果这种行为得到高层的普遍容忍,可能会导致公司成为丑闻的对象恶劣环境索赔.所以,如果黑客吓不到你,也许诉讼会吓到你。
使用一个密码管理器.这个建议听起来可能不太合适,但我们把它包含进来是有原因的。密码管理器不只是存储大量的密码并保证它们的安全。它们还可以阻止你的浏览器在看似合法但最终是恶意的网站上预填字段,使其不太可能成为网络钓鱼的保护神。因此,下次当你从你的“银行”收到一封电子邮件,告诉你有一个漏洞,你必须更新你的密码,而你的密码管理器拒绝预先填写信息,仔细检查地址栏中的URL。你可能在一个你不想上的网站上。
考虑安装作为另一层保护的应用程序。有大量出色的浏览器应用程序可供注重隐私和安全的员工使用。例如,广告拦截程序可以删除网站上曾经被恶意行为者在广告宣传活动中使用过的广告。追踪器拦截程序允许用户在未经用户同意的情况下,拦截监控用户行为、收集用户信息的网站上的追踪器。脚本拦截程序禁用或阻止浏览器脚本的执行,犯罪分子可以滥用这些脚本。其他的应用程序,比如HTTPS无处不在,迫使浏览器将用户引导到可用的HTTPS版本的网站。
考虑沙盒。沙盒是一种模拟环境的软件,在这种环境中,人们可以浏览Internet并独立于实际端点运行程序。它通常用于测试和分析文件,以检查它们在部署和运行时是否安全。
我们并不是说员工应该知道如何分析文件(如果你能的话,那就很好了)。只是那些经常打开私人邮件附件的员工,偶然进入那些最多被认为是粗略的网站或者希望检出第三方供应商的程序,请在与办公网络隔离的安全设置中检出。这是一个免费的沙盒软件列表如果您有兴趣尝试的话,可以阅读更多相关内容。
假设你是一个目标。没有多少员工愿意承认这一点。事实上,他们可能直到现在才想到这一点。例如,很多小企业都认为自己不会成为网络攻击的目标,因为犯罪分子不会对“小人物”下手。但各种调查、情报和研究却给出了不同的答案。
员工需要改变他们的思维。每次我们上班时上网,无论是否出于正当理由,我们都在把公司置于风险之中。因此,我们必须主动安全浏览,采用网络安全最佳实践,并以开放的心态接受培训课程。要意识到在办公环境中有很多是危险的,鼠标在一个坏的链接上的一次点击就可能毁掉整个业务。你想成为负责任的人吗?
我们是同舟共济的
当涉及到防止在线威胁渗透到组织的网络和保护敏感的公司和客户数据的安全时,它们确实不再只是it问题。网络安全和隐私而且应该是每个员工都关心的问题——从普通员工到管理人员主管级别的.
事实上,任何人都不应该被免除持续的网络安全培训,高级官员也不应该继续认为公司的政策不适用于他们。如果每个员工都能遵守上述简单的指导方针,我们相信,各种规模的组织都已经处于比以前更好的安全态势。然而,这只是第一步。组织仍然需要评估他们的网络安全和隐私需求,这样他们才能有效地投资于工具和服务,帮助更好地保护他们独特的工作环境。无论他们选择实施什么需要员工参与的变更,IT和高级工作官员都必须确保每个人都参与其中。
保持安全!
“更安全互联网日”博客:
评论