要问网络安全专家的 5 个问题

几乎每周我们都会听到另一家公司或组织成为网络攻击受害者的消息。我们知道网络犯罪分子更加顽固，我们需要更加努力地保护信息。

我认为在我们的个人生活中，我们大多数人都试图更加小心。将我们的每个个人密码设置为 123456 的日子（我希望）已经一去不复返了。 然而，我们似乎并没有将同样程度的关注带入办公室。既然我们的 IT 专业人员肯定会处理我们的网络安全，我不应该担心......对吧？

事实是，我们作为员工在保护我们工作的公司方面发挥着至关重要的作用，只需一次错误的点击即可危及企业。 Willis Towers Watson 最近的一项研究发现，90% 的网络事件索赔源于某种类型的人为错误或行为。这里有五个问题和答案，可帮助指导您使您的公司更加安全。

1.我的公司面临的主要网络风险是什么？

一家公司的风险因其独特的运营环境而有很大差异，因此需要评估和考虑很多事情。

你有很多员工使用电子邮件吗？鱼叉式网络钓鱼可能是您面临的最大风险。您车间的每台设备都有 IP 地址吗？否则，恶意代码、未经授权的访问和使用或数据泄露可能是最大的风险。

执行网络安全风险评估应该是贵组织信息安全管理计划的关键部分。每个人都知道，当涉及到公司的关键和安全数据、信息资产和设施时，存在一定程度的风险。但是，您如何量化并为这种网络安全风险做好准备？ IT 安全风险评估的目的是确定贵公司的关键资产面临哪些安全风险，并了解应该使用多少资金和精力来保护它们。

NIST 风险管理框架 (RMF) 是一个很好的入门资源。 RMF 提供了一种结构化但灵活的方法，用于管理由贵公司可以控制的系统和贵组织的业务流程产生的风险部分。

2.可以使用密码管理器吗？

虽然为您的个人在线帐户使用密码管理器是一种保持安全的极好方式，但请记住在工作中使用任何软件之前检查您公司的政策。

密码管理器可以帮助您存储密码并帮助您为每个站点生成唯一的密码。但是，将所有密码保存在一个地方是有风险的。了解您的密码如何受到保护以及它们是否已加密非常重要。市面上有多种适用于多种设备和浏览器的商业产品，因此请进行研究以找到最能满足您需求的产品。

3.我的公司是否遵守领先的信息安全框架或标准？是否需要遵守？

保护您的知识产权以及敏感的客户和员工信息可以让您和您的客户安心。当您考虑网络攻击可能给您带来的财务影响、生产力下降和信任丧失时，这也是一种合理的商业做法。

对于国防部 (DoD) 供应链中的公司来说，这种保护是绝对必要的。这些公司必须满足国防联邦采购条例补充 (DFARS) 的最低安全标准，否则将面临失去国防部合同的风险。

以下是一些可帮助您了解和降低风险的安全框架或标准示例：NIST 网络安全框架、NIST SP 800-53 - 信息系统和组织的安全和隐私控制、NIST MEP 网络安全自我评估手册和支付卡行业数据安全标准 (PCI DSS)。很容易混淆您应该参考哪个文档，所以这里有更多关于每个文档的信息：

• 与 NIST SP 800-53 相比，该框架更高级（也更简洁），后者是一个安全和隐私控制目录。对于可能没有技术背景的高管和决策者来说，该框架更易于管理。它还侧重于如何评估和确定安全功能的优先级，并参考 NIST SP 800-53 等现有文档，这些文档最适合实施安全的技术人员使用，并且可以了解有关选择和实施哪些控件的更详细信息。
• NIST MEP 网络安全自我评估手册将帮助您的公司符合 NIST SP 800-171 安全要求，以响应 DFARS 网络安全要求。该手册提供了一个分步指南，用于根据 NIST SP 800-171 修订版 1“保护非联邦系统和组织中的受控非机密信息”中的安全要求评估小型制造商的信息系统。

• 支付卡行业数据安全标准 (PCI DSS) 是一套被广泛接受的政策和程序，旨在优化信用卡、借记卡和现金卡交易的安全性。 PCI DSS 于 2004 年由 Visa、MasterCard、Discover 和 American Express 创建。所有存储、处理或传输持卡人数据的公司都需要维护支付安全。持卡人数据的泄露或盗窃会影响整个支付卡生态系统。对贵公司的影响的一些示例包括客户信心丧失、销售额下降、欺诈损失、法律费用、罚款和终止接受支付卡的能力。保持 PCI DSS 合规性对于处理卡支付并保持网络防御准备好抵御旨在窃取持卡人数据的攻击的公司的长期成功至关重要。大多数小公司可以使用自我验证工具来评估他们的持卡人数据安全级别。

4.什么是双因素身份验证以及如何启用它？为什么密码不够好？

双因素身份验证 (2FA) 是一个额外的安全层，用于确保您就是您所说的那个人。问题是用户名和密码很容易被猜到，而且人们对多个站点使用相同的密码。公开披露的事件表明，每分钟泄露 5,518 条记录。

2FA 阻止其他人轻松访问您的帐户。启用 2FA 后，您在登录页面中输入用户名和密码。然后，您将需要提供另一条信息，而不是立即获得访问权限。第二个因素可能是以下因素之一：

• 您知道的信息 - 个人识别码 (PIN)、密码或秘密问题的答案。
• 您拥有的东西 - 信用卡、钥匙卡、智能手机、硬件或软件令牌或来自网站的通知。
• 你的身份——指纹、虹膜扫描或声纹的生物特征。

如果您不确定您的网站或应用是否具有 2FA，请访问 TwoFactorAuth.org 了解详情。

为所有帐户启用 2FA。请参阅 Telesign 有关启用 2FA 的分步说明：https://www.turnon2FA.com。

5.是否有批准流程来购买我认为对我的工作有用的应用程序？

大多数公司确实有关于如何购买软件（盒装/在线或外部托管在云中）的政策。重要的是要知道您可以立即使用哪些应用程序，哪些可能需要进一步调查以确保它们足够安全以供您使用以及将在其中处理和/或存储的数据。了解需要什么，并与您的网络安全专业人员合作完成所需的流程，以确保信息得到妥善保护。

如果您想更好地了解您的网络安全风险，您可以使用 MEP National Network ^TM 网络安全自我评估工具。如果您有疑问或想与网络安全专家交谈，请联系您当地的 MEP 国家网络中心。