首先，網絡威脅持續快速發展，因為犯罪分子在破壞公司和組織為保護其數據而設置的防御措施方面變得非常有效。如果他們沒有，那么 2018 年最嚴重的數據泄露名單就不會包括英國航空公司、T-Mobile、Facebook 和萬豪酒店等公司。

其次，網絡犯罪分子的許多目標并沒有為攻擊做好準備。無論是忽視網絡空間中的現有威脅，還是沒有對網絡安全戰略進行足夠的投資，決策者都在讓他們的業務暴露在風險之下。

這一決定的結果是眾所周知的：450 億美元，以及數百萬暴露的信用卡號碼、姓名、電話號碼、地址和電子郵件。不要讓這種情況發生在你身上。您已經投入大量精力和金錢來創建自己的企業，因此至少忽略網絡安全而將其全部扔掉似乎是不合理的。這就是為什么要仔細閱讀以下 4 個要點，以了解如何為您的企業制定有效的網絡安全策略并遠離網絡犯罪分子。

獲得員工的支持

除了作為您抵御網絡威脅的第一道防線外，您的員工也是鏈條中最薄弱的一環。缺乏培訓會導致過多的不良后果，包括因密碼薄弱和違反組織網絡安全政策而導致的數據泄露。

哎呀，您保護企業免受數據泄露的策略可能非常有效，但很容易被信息不足或訓練有素的員工所犯的一個錯誤所破壞（是的，很好地培訓了這些新人）。

因此，作為企業所有者，您應該明確表示網絡安全不是 IT 團隊的唯一責任。每個員工都應該有能力保護他們的組織免受網絡犯罪分子的侵害，這意味著他們需要培訓。

使每個人都必須接受網絡安全培訓，特別強調新員工。涵蓋最重要的主題，包括惡意軟件、暴力攻擊、密碼、網絡釣魚、社會工程等。

分解要保護的數據和系統

首先，確保您的網絡安全政策涵蓋如何以安全的方式處理客戶和其他與業務相關的數據。以下是要記住的內容：

• 您在業務流程中收集的數據和數量
• 您存儲所有數據的地方，即云存儲
• 現有的數據保護措施，即密碼和加密
• 數據備份例程。數據備份的頻率和負責此過程的利益相關者。

其次，您需要對用于執行業務流程的系統有很好的了解。這些系統對于保持公司的活力至關重要，包括 ERP 軟件、會計等。

網絡安全策略應具有以下程序和標準來保護它們：

• 關于更新和備份這些系統的明確規則——以及誰負責實現這一點
• 員工對在公司內部網絡中運行的云軟件和其他應用程序的訪問權限和限制
• 關于訪問這些系統的規定；例如，如果您有遠程員工，您可能希望為他們提供 VPN 等安全工具
• 用戶認證程序。組織需要設置員工如何識別自己的規則（密碼策略、雙重身份驗證等）
• 關于特定事件和安全問題的明確說明。如果發生不可想象的事情，您的 IT 團隊應該能夠迅速采取行動，將損失降至最低或完全防止損失。

將這兩個部分包含在您的網絡安全政策中，以便您的員工知道這將如何影響他們的日常工作。此外，您的客戶還應該很好地了解一旦他們將私人數據提供給您，您將如何保護他們。

定期進行網絡安全審計

不斷檢查漏洞是保護您的數據免受網絡空間中不斷變化的威脅的好方法。要做到這一點，請在您的網絡安全策略中寫下一個部分，清楚地描述對現有 IT 實踐和資產的安全審計。

例如，每次審計都應評估用于網絡安全的軟件和硬件的狀態，以及員工對現有網絡政策和程序的遵守情況。

雖然我們正在討論審計問題，但要求業務合作伙伴和供應商進行審計也是一個好主意。由于外部利益相關者的錯誤，您公司的數據可能會暴露，因此請考慮要求合作伙伴進行 IT 審計。

實現這一目標的一種好方法是在合同中要求它們。例如，在與供應商或合作伙伴簽訂合同之前，請考慮將此作為強制性合作條件。您不僅可以使您的數據更安全，而且可以保護自己免于承擔責任，以防合作伙伴犯下嚴重錯誤。

描述如何報告風險

在創建全面的風險報告時，網絡安全經理對他們不了解公司的程度感到驚訝并不少見。通常，他們會發現無窮無盡的問題，包括缺乏可靠的員工、硬件、軟件、數據庫、訪問權限和合作伙伴清單。

一個常見原因是許多公司傾向于在本地管理關鍵任務資產，而不依賴總部的網絡安全專家。

麥肯錫的這份關于網絡安全的報告描述了一些真實的例子，其中網絡安全專家甚至沒有意識到沒有報告嚴重風險并暴露了大量敏感數據的事實。這是其中之一：

一家大型制造組織使用第三方公司在其工廠安裝關鍵生產組件。這些設備通過未注冊的在線接口連接，導致整個制造環境大量暴露于網絡攻擊。

換句話說，如果黑客能夠訪問這些數據，他們就會清楚地了解公司的 IT 系統（工業控制工具、生產中使用的物聯網設備等）以及運營技術。

這就是為什么您的網絡安全應描述如何實施整體風險報告以使所有決策者都可以使用此信息。上述麥肯錫報告提供了一個解決方案：網絡風險儀表板。它通過使用一些呈現以下內容的動態面板來總結風險管理鏈：

• 風險格局的發展
• 公司對近期網絡安全相關事件和事件的分析及應對措施
• 通過評估風險格局定義的最相關的網絡風險
• 風險評估及其緩解建議
• 清晰詳細的風險緩解程序及其狀態。

這是麥肯錫給出的網絡風險儀表板的說明性表示。

像這樣的網絡風險報告策略和工具使公司能夠更有條理地積極防御。這就是您考慮在自己的網絡安全政策中為此制定策略的原因。雖然此策略最適合大型企業，但此儀表板的許多元素（例如風險矩陣）很容易被小型企業采用。

對您的數據的網絡威脅有多種大小和形式，因此您應該為它們做好準備。沒有人希望看到他們的業務被黑客攻擊，因此您的防御始于編寫和實施網絡安全策略。

希望本文能幫助您了解從何處開始保護數據，以確保您的業務繼續發展。最后的建議：盡快開始制定策略，因為網絡犯罪分子不會真正等待任何人為他們的袖手旁觀做好準備。