對于沒有內部網絡安全專家的小公司,他們應該先問自己什么問題,然后才知道下一步該做什么?
盡管沒有內部網絡安全專家,但大多數公司都有一些處理其技術的管理服務提供商(MSP)。 我的建議是確保這些托管服務提供商處于安全之上,并向他們詢問安全意識培訓計劃。 盡管存在風險,但許多小型托管服務提供商尚未建立任何安全意識培訓計劃。 不幸的是,許多客戶不得不在這方面提倡自己。
你能談談在技術和培訓之間達到正確的安全平衡,以及人類因素在2018年扮演什么角色?
大多數黑客是我喜歡稱之為“矢量不可知”的。 這意味著他們不關心他們是否通過一個奇妙的“0天”惡意軟件漏洞進入系統,或者他們打電話給你,讓你交出你的登錄信息。 它們更像是水從阻力最小的路徑進入你的系統。 目前,大多數技術系統,無論是Google,Okta還是C3 / SAP系統都內置了安全性。 它們很難滲透,因為軟件市場已經要求在這些系統中建立安全性。 當您向這些公司支付SaaS訂閱時,您已經為安全付費。
對于人員也不能這樣說。 雖然我建議讓所有系統保持最新狀態(特別是安裝了Windows的軟件),但安全漏洞幾乎總是會以直接攻擊你的員工的形式出現。 訣竅是永遠不要被你的技術蒙蔽,認為你不需要培訓。 人的因素是組織中最脆弱的部分。 培訓是確保漏洞不會變成違規的方法。
更多精彩資訊,歡迎關注明碩股份重大件國際物流領航者!
