2021-03-24 09:20:23 来源:
1.我的公司是否知道库存中有哪些硬件和软件资产?
考虑漏洞的第一步是创建完整的技术资产清单。如果您不知道需要保护哪些系统和数据,怎么知道漏洞是什么?将工作站,服务器,应用程序和智能手机设备的列表保持在一个中央位置至关重要。随着公司资产,产品和员工人数的增长,您是否继续对IT库存进行重新评估?随着公司的发展和壮大,您将需要一份完整的技术资产清单。
2.我们是否在有效而适当地打补丁?
您的公司应该迅速而适当地进行补丁修补,因为补丁管理不善可能会使您的公司面临潜在的威胁。零日威胁可以利用软件漏洞,然后将补丁和更新提供给公众。保护自己免受这些威胁的最佳方法是在更新可用时立即进行安装。有了补丁管理流程,公司可以在必要时推出这些更新。
3.我们是否有书面信息安全计划(WISP)和业务连续性计划(BCP),它们是否适用于组织并且针对组织?
如果您的公司需要美国证券交易委员会(SEC),则您需要制定这些计划。即使您没有在SEC上注册,最好的做法还是要有正式的计划来保护您的敏感数据和信息,并确保您的公司在任何情况下都能正常运作。如果您的公司已经制定了这些计划,这些计划是否适用于该公司?如果您的计划中某些部分对您的组织不可行或无法与员工正确沟通,那么您的计划就不会被认为是彻底的或不可行的。
4.我们是否采用多因素身份验证(MFA)?
多因素身份验证为登录增加了一层额外的复杂性,使黑客更难以渗透到您的系统中。这可以采取安全性问题,通过SMS发送的代码或指纹验证的形式。为了使MFA生效,公司必须停止在其系统和应用程序之间使用共享登录名。
5.员工是否被视为担保资产或公司责任?
通过全面的安全培训以及针对员工的政策和程序的强大沟通,应该将您的团队视为资产,而不是对安全的威胁。如果您的员工被认为是威胁,请问问自己这些后续问题。
我们公司是否实行“最小特权原则”?(PoLP)是否已对员工进行了从事件响应到业务连续性,信息安全等主题的适当培训?是否对我们的员工进行了培训并密切关注网络钓鱼和其他社会工程尝试?是否及时有效地向员工传达了有关政策和程序的更新定期还是根据需要?6。第三方和供应商是否已制定适当的网络安全策略?
在评估风险和探索企业的脆弱性时,评估供应商,第三方以及您自己的公司至关重要。管理供应商可能很棘手,但这是不可忽视的关键领域。与所有第三方和服务提供商进行详尽的年度年度尽职调查流程,可以使您的信息保持最新,并确保您的合作伙伴在日常业务中考虑安全性。
7.我们是否要及时纠正调查结果?
及时解决漏洞对于维持健康的业务至关重要。在确定流程中的风险之后,公司必须对这些发现对其业务功能至关重要。在其他情况下,接受风险可能很有意义,但是拥有完善的计划和IT差距清单将对将来的评估有所帮助。
上面几次提到的关键要素是沟通。与员工,股东和合作伙伴沟通所有计划,政策和程序将确保每个人都了解情况,并知道他们在IT系统运行状况中扮演什么角色。
有关投资公司网络安全漏洞的更多信息,请阅读我们的白皮书“十大常见网络安全漏洞以及如何避免它们”。
免责声明:本网站所有信息仅供参考,不做交易和服务的根据,如自行使用本网资料发生偏差,本站概不负责,亦不负任何法律责任。如有侵权行为,请第一时间联系我们修改或删除,多谢。
© 2018 今日中国财经 版权所有