如何识别贵公司的网络安全风险

这篇文章最初出现在《工业周刊》上。 Traci Spencer 的客座博客文章，TechSolve, Inc. 的资助项目经理，该公司是俄亥俄州 MEP 的西南区域合作伙伴，是 MEP 国家网络的一部分 ^TM .

本文是概述“制造商网络安全”最佳实践的五部分系列文章中的第一部分。这些建议遵循美国国家标准与技术研究院 (NIST) 网络安全框架，该框架已成为美国制造业的标准。

根据 Ponemon Institute 2018 年由 IBM 赞助的一项研究，全球平均数据泄露为 386 万美元。每条被盗记录的金额接近 150 美元。如果您是一家中小型制造商，您可能认为这些统计数据不适用于您。但在报告中涉及的 17 个行业中，受影响最大的行业是金融、服务业，等等——制造业。

由于制造商通常在信息安全方面投入的资源较少，因此它们是网络犯罪分子的热门目标。只需一次网络攻击就可以摧毁较小制造商的整个运营系统。联网机器、供应商、分销商甚至客户都可能通过制造工厂中的一台计算机/设备遭到黑客攻击。

其他风险包括：

• 丢失对经营业务至关重要的信息
• 对客户信心的负面影响
• 监管罚款和由此产生的法律费用
• 生产力下降或停止。

幸运的是，您可以在美国国家标准与技术研究院 (NIST) 的帮助下学习保护您的运营，该研究院开发了一个网络安全五步框架，可供任何规模的企业实施。 NIST 网络安全框架可在线获取，由您当地的 MEP 国家网络代表（推进美国制造业的首选专家）进一步解释。您还可以查看制造商网络安全指南（在我们知道文档位置后添加链接），该指南为制造商提供了开发网络安全计划所需的基本实践和工具。

准备好迈出数据安全的第一步了吗？该过程从识别您的风险开始。

控制谁可以访问您的信息

列出可以访问计算机的员工名单，包括您的所有企业帐户、访问类型（物理或密码），并在所有不使用的笔记本电脑和移动设备上进行物理保护。让您的员工使用隐私屏幕或放置计算机屏幕，使路过的人看不到显示屏上的信息，并让他们将屏幕锁定设置为在不使用计算机时激活。

不允许未经授权的人员物理访问计算机或系统，例如：

• 清洁人员或维护人员
• 在系统或设备上工作的无人监督的计算机或网络维修人员
• 未经员工询问就走进您的办公室或车间的身份不明的人

犯罪分子只需几秒钟即可访问未锁定的机器。不要让他们轻易窃取您的敏感信息。

对所有员工进行背景和安全检查

背景调查对于识别您的网络安全风险至关重要。应在全国范围内对所有可能访问您的计算机和公司系统和设备的潜在员工或其他人进行全面搜索。

这些检查应包括：

• 刑事背景调查
• 性犯罪者检查
• 信用检查，如果可能（美国一些州限制使用信用检查）
• 验证前雇主工作日期的参考
• 教育和学位验证

您也可以考虑对自己进行背景调查，如果您在不知不觉中成为身份盗用的受害者，这可以迅速提醒您。

要求每位员工拥有单独的用户帐户

如果您遇到数据丢失或未经授权的数据操作，如果没有每个用户的单独帐户，可能很难进行调查。为需要访问权限的每个员工和承包商设置一个单独的帐户。要求他们为每个帐户使用强大且唯一的密码。

限制拥有管理权限的员工数量，尤其是在他们不需要执行日常工作职责的情况下。考虑仅允许访客或客户在您的设施中访问互联网的访客帐户。

制定网络安全政策和程序

虽然创建您的第一个网络安全政策似乎是一项艰巨的任务，但 MEP 国家网络中有许多易于遵循的提示可以帮助您入门。您可能还需要咨询熟悉网络法的法律专业人士，以查看您的政策，以确保您遵守当地法律法规。

您的新网络安全政策应包括：

• 您对员工保护公司信息的期望
• 需要保护的基本资源以及您希望员工如何保护这些信息
• 每位员工签署的协议，以确认他们已阅读并理解政策。

将签署的协议保存在每位员工的人力资源档案中。每年至少审查一次该政策，并在您对公司的技术进行任何更改时进行更新。然后，您可以使用网络安全政策对新员工进行信息安全责任培训，并为您的所有业务运营制定可接受的做法。

现在您已经学会了如何识别风险和评估资源，是时候考虑保护它们了。在我们来自 MEP 国家网络的五部分“制造商网络安全”系列的第二部分中，我们将介绍保护您的宝贵数据和信息免受网络威胁的关键步骤。