Basics for Improving the Safety of Your Organization's Data

The world is currently experiencing the Fourth Industrial Revolution (4IR),¹ a result of which has been the innovation of big data. The concept of big data encapsulates how enormous amounts of data can be gathered, analyzed and stored across many systems.² Most data collection is for typical business purposes, 然而, 恶意网络攻击者可以访问和利用数据来损害组织的声誉, gain unauthorized access to its systems to bring it down, 危及用户, and cause other financial and regulatory impacts. 幸运的是, 组织可以通过执行良好的网络安全卫生基础来保护他们的数据.

简单越好

澳门赌场官方下载范围内的员工朝着更安全的状态努力，有助于抵御针对组织的一些最常见的攻击.³ To achieve this level of collaboration, 澳门赌场官方下载可以建立或加强安全意识和教育培训计划. 安全浏览等话题, 社会工程和安全策略通常是很好的起点，因为它们可以改善用户行为. 另外, 组织需要确保用户知道如何以及何时报告问题或关注点. Overreporting is always better than underreporting, so the organization should conduct exercises that encourage users to report.⁴ If the organization allows remote or mobile work, it should instruct users on how to protect their own access points and data, 从而提高存在于用户家庭网络上的组织的系统和数据的安全性.

Knowing what vulnerabilities are on the network, 它们如何转化为组织的风险，以及如何降低这种风险是提高组织数据安全性的重要步骤.⁵ 一旦基础都准备好了, the organization can also implement more advanced items such as browser add-ons, 代理服务, 数据加密, 行为监测, and web filtering to improve the protection of the organization’s data.

Making the Most of 网络安全 资源

目前并不缺乏可用的网络安全资源，这些资源旨在帮助保护处于风险中的组织数据. 与利用数据安全所需的技术资源相比，获得组织支持和改变组织文化以安全管理数据通常更具挑战性.⁶ As soon as organizational support is in place, 从业者及其澳门赌场官方下载应利用以下资源:

• 〇安全密码策略Implement an organizational strategy that aids users in selecting a strong password, 在登录期间使用多因素身份验证(MFA)，并了解如何使用弱密码危害组织.
• 〇安全浏览网页Instruct employees to use common precautions when browsing the Internet, including checking for the lock symbol on their browser (i.e., 统一资源定位器[URL]显示超文本传输协议安全[HTTPS])，并监控可能试图冒充品牌的虚假网站.
• Mobile device updates and security tools—如果组织提供移动设备或强制执行自带设备(BYOD)策略, it should aid users in safely using their devices on the network (e.g., offer update reminders, secure configuration assistance).
• 暗网监控该服务可以是组织的第一个警告，即攻击者正在计划攻击系统或系统已被破坏并且数据正在出售.
• 〇基本保安训练一个基本的安全培训计划可以帮助用户了解如何成为组织的第一道防线. 用户必须了解要查找什么，以及在发现问题时如何报告任何活动.
• 库存管理,One cannot protect, patch or control something that one does not know exists. 执行完整的清单是确定必须保护的内容的第一步.

By arming itself with these tools, an enterprise is better able to protect its data.

Best Practices for Patching, Configurations and Passwords

澳门赌场官方下载可以通过遵循打补丁的最佳实践进一步提高数据安全性, 配置和密码. A number of strategies can help organizations improve the safety of their data:

• 实施补丁管理程序，确保所有设备都有最新的补丁.
• 实施配置管理程序，确保所有设备符合组织的基本安全标准.
• 通过实施访问管理程序，确保最低访问权限保护措施到位.
• 使用访问管理程序确保有一个强大的密码策略. 大多数安全工具监视弱密码或重复密码，因为弱密码和重复密码是第一和第二件事, 分别, that most attackers guess to try to gain access to an organization.⁷ 出于这个原因, 澳门赌场官方下载应经常检查其网络用户是否使用弱密码或重复密码. Organizations may also consider adopting an enterprise password management solution. 该工具通过内置的密码检查和URL安全检查工具帮助确保用户使用安全的密码和Internet浏览实践.⁸
• Whether an organization’s employees use personal or enterprise-owned mobile devices, 组织应该有一个移动设备管理程序，对所有连接到网络的移动设备进行盘点，并确保它们符合最低安全标准.⁹

遵循这些指导方针可以帮助组织保护自己免受恶意网络行为者试图访问数据的攻击.

暗网监控 for Leaked Information

安全团队如何发现攻击者是否正在计划对组织进行攻击，或者该组织是否已经受到威胁? 安全即服务提供商通常提供暗网活动监控，以在暗网上搜索任何组织的私人信息或任何可能对组织有害的信息. If areas of concern are discovered, 服务提供者通知受影响的组织，并为应该采取的行动提供指导方针.¹⁰

结论

数据收集, big data and hackers are here to stay, so organizations must secure their data starting with the basics. 基本步骤是实现起来最简单、成本最低的，并且对降低组织数据的整体风险帮助最大. 从那里, 组织可以确定任何可以采取的额外步骤，以进一步提高其数据的安全性, such as incident response training, periodic policy reviews and/or data loss prevention (DLP) safeguards.¹¹ 这些努力, in conjunction with the associated cybersecurity culture change in the organization, 使组织能够主动保护数据，而不是在每个事件发生时才做出反应.

尾注

¹ 施瓦布K.; “The Fourth Industrial Revolution: What it Means, How to Respond,” World Economic Forum, 14 January 2016
² 肖,我.; “Exposed: The Erosion of 隐私 in the Internet Era,” 哈佛杂志， 2009年9月
³ 暴涨,B.; “What Are the Main Attack Vectors in 网络安全?” Heimdal Security, 12 February 2022
⁴ CybSafe。”7 Reasons Why Security Awareness 培训 Is Important， 2021年1月26日
⁵ Fellinge J.; “How Device Inventory and Dependency Management Help Secure Larger Systems,” Mouser Electronics Blog, 31 January 2019
⁶ 罗密欧,C.; “6 Ways to Develop a Security Culture from Top to Bottom”TechBeacon
⁷ 网站安全商店"Password Based Attacks to be Aware of and How to Prevent Them， 2021年10月6日
⁸ 奥兰治县信用社，”Pros and Cons of Using a Password Manager2021年4月5日
⁹ 弗里德曼,M.; “18 Ways to Secure Your Devices From Hackers,” 每日经济新闻2022年1月25日
¹⁰ Rapid7。”暗网监控”
¹¹ 员工。”Eight Simple But Effective Ways to Improve Your Company’s Data Security,” 《澳门赌场官方软件》2021年10月20日

布莱恩弗莱彻, CISSP, OSCP

是ISACA内容开发和服务部门的高级网络安全研究顾问，也是网络安全最佳实践的主题专家, 治理, 控制和标准. 他还支持ISACA的CMMI网络成熟度平台(CMMI- cp)的开发和扩展。. 弗莱彻是一名非常有成就的美国海军老兵，在包括系统开发在内的多学科安全领域拥有25年的经验, cyberoperations, crisis response and cybersecurity training.