擁有資源和知識(shí)的員工來(lái)保護(hù)您的組織免受網(wǎng)絡(luò)威脅是您所能擁有的最佳防線之一。 

員工網(wǎng)絡(luò)安全教育的重點(diǎn)之一應(yīng)包括揭穿常見(jiàn)的網(wǎng)絡(luò)安全誤解。這份清單由美國(guó)國(guó)家網(wǎng)絡(luò)安全聯(lián)盟與公共和私人合作伙伴共同編制，基于美國(guó)各地企業(yè)領(lǐng)導(dǎo)人和員工的經(jīng)驗(yàn)。我們可以它山之石可以攻玉的心態(tài)看一下，我們?cè)谶@個(gè)過(guò)程中，該采取哪些有效措施？

10個(gè)常見(jiàn)誤區(qū)

1.我的數(shù)據(jù)（或我可以訪問(wèn)的數(shù)據(jù)）沒(méi)有價(jià)值

各種規(guī)模的組織都保存或可以訪問(wèn)值得保護(hù)的寶貴數(shù)據(jù)。此類(lèi)數(shù)據(jù)可能包括但不限于就業(yè)記錄、稅務(wù)信息、機(jī)密通信、銷(xiāo)售點(diǎn)系統(tǒng)、商業(yè)合同。 所有數(shù)據(jù) 都是有價(jià)值的。

采取行動(dòng)：評(píng)估創(chuàng)建、收集、存儲(chǔ)、訪問(wèn)和傳輸?shù)臄?shù)據(jù)，然后根據(jù)其敏感度對(duì)數(shù)據(jù)進(jìn)行分類(lèi)，以便采取適當(dāng)?shù)拇胧﹣?lái)保護(hù)數(shù)據(jù)。 詳細(xì)了解 如何執(zhí)行此操作。

2.網(wǎng)絡(luò)安全是一個(gè)技術(shù)問(wèn)題

組織不能依賴(lài)技術(shù)來(lái)保護(hù)其數(shù)據(jù)。網(wǎng)絡(luò)安全的最佳方法是結(jié)合員工培訓(xùn)、明確且可接受的政策和程序以及實(shí)施最新技術(shù)（如防病毒和反惡意軟件）。保護(hù)  組織的網(wǎng)絡(luò)安全是全體員工的責(zé)任，而不僅僅是 IT 員工的責(zé)任。

采取行動(dòng)： 教育每一位員工（在組織的每個(gè)職能部門(mén)和每個(gè)級(jí)別）了解他們保護(hù)所有業(yè)務(wù)信息的責(zé)任。通過(guò) 國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所指南詳細(xì)了解如何做到這一點(diǎn)。

3.網(wǎng)絡(luò)安全需要大量的資金投入

如果您真的想保護(hù)您的組織，那么制定強(qiáng)大的網(wǎng)絡(luò)安全策略確實(shí)需要財(cái)務(wù)投入。但是，您可以采取許多幾乎不需要財(cái)務(wù)投入的措施。

采取行動(dòng)： 制定并實(shí)施網(wǎng)絡(luò)安全政策和程序；限制管理和訪問(wèn)權(quán)限；啟用多因素或雙因素身份驗(yàn)證；培訓(xùn)員工識(shí)別惡意電子郵件并創(chuàng)建備份手動(dòng)程序，以確保在網(wǎng)絡(luò)事件期間關(guān)鍵業(yè)務(wù)流程正常運(yùn)行。此類(lèi)程序可能包括在第三方供應(yīng)商或網(wǎng)站無(wú)法運(yùn)行的情況下處理付款。使用NCA的 “快速獲勝”提示表詳細(xì)了解如何做到這一點(diǎn)。

4.將工作外包給供應(yīng)商將讓你在發(fā)生網(wǎng)絡(luò)事件時(shí)免于承擔(dān)安全責(zé)任

將部分工作外包給其他人是完全合理的，但這并不意味著您放棄了保護(hù)供應(yīng)商可以訪問(wèn)的數(shù)據(jù)的責(zé)任。數(shù)據(jù)屬于您，您有法律和道德責(zé)任確保其安全。

采取行動(dòng)： 確保與所有供應(yīng)商簽訂了詳盡的協(xié)議，包括如何處理公司數(shù)據(jù)、誰(shuí)擁有數(shù)據(jù)并有權(quán)訪問(wèn)數(shù)據(jù)、數(shù)據(jù)保留多長(zhǎng)時(shí)間以及合同終止后數(shù)據(jù)將如何處理。您還應(yīng)該讓律師審查所有供應(yīng)商協(xié)議。通過(guò) 美國(guó)律師協(xié)會(huì)的這份清單詳細(xì)了解如何做到這一點(diǎn)。

5.網(wǎng)絡(luò)攻擊受一般責(zé)任保險(xiǎn)的保障

許多標(biāo)準(zhǔn)的商業(yè)責(zé)任保險(xiǎn)政策不涵蓋網(wǎng)絡(luò)事件或數(shù)據(jù)泄露。

采取行動(dòng)： 與保險(xiǎn)代表交談，了解您是否擁有任何現(xiàn)有的網(wǎng)絡(luò)安全保險(xiǎn)，以及哪種保險(xiǎn)最適合您公司的需求。通過(guò) 聯(lián)邦貿(mào)易委員會(huì) (FTC) 的小型企業(yè)中心詳細(xì)了解如何做到這一點(diǎn)。

6. 網(wǎng)絡(luò)攻擊總是來(lái)自外部行為者

簡(jiǎn)而言之，網(wǎng)絡(luò)攻擊并不總是來(lái)自外部行為者。一些網(wǎng)絡(luò)安全事件是由員工意外造成的，例如他們將敏感信息復(fù)制并粘貼到電子郵件中并將其發(fā)送給錯(cuò)誤的收件人。其他時(shí)候，心懷不滿的（或前）員工可能會(huì)通過(guò)對(duì)組織發(fā)起攻擊來(lái)進(jìn)行報(bào)復(fù)。

采取行動(dòng)： 在考慮威脅形勢(shì)時(shí)，重要的是不要忽視可能來(lái)自組織內(nèi)部的潛在網(wǎng)絡(luò)安全事件，并制定策略以盡量減少這些威脅。使用此 網(wǎng)絡(luò)安全和關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu)資源詳細(xì)了解如何做到這一點(diǎn)。

7.年輕人比其他人更擅長(zhǎng)網(wǎng)絡(luò)安全

通常情況下，組織中最年輕的人會(huì)成為默認(rèn)的“IT”人員。年齡與更好的網(wǎng)絡(luò)安全實(shí)踐沒(méi)有直接關(guān)系。

采取行動(dòng)： 在讓某人負(fù)責(zé)管理社交媒體、網(wǎng)站、網(wǎng)絡(luò)等之前，請(qǐng)向他們說(shuō)明使用期望和網(wǎng)絡(luò)安全最佳實(shí)踐。詳細(xì)了解不同世代的在線行為。

8.安全項(xiàng)目只要符合行業(yè)標(biāo)準(zhǔn)就足夠了

例如，美國(guó)要求遵守《健康保險(xiǎn)流通與責(zé)任法案》（HIPAA）或支付卡行業(yè)（PCI）是保護(hù)敏感信息安全的關(guān)鍵要素，但僅僅遵守這些標(biāo)準(zhǔn)并不等同于組織擁有強(qiáng)大的網(wǎng)絡(luò)安全策略。

采取行動(dòng)： 使用強(qiáng)大的框架（例如 NIST 網(wǎng)絡(luò)安全框架）來(lái)管理與網(wǎng)絡(luò)安全相關(guān)的風(fēng)險(xiǎn)。了解有關(guān) NIST 網(wǎng)絡(luò)安全框架的更多信息。

9.數(shù)字安全和物理安全是分開(kāi)的

許多人狹隘地將網(wǎng)絡(luò)安全與軟件和代碼聯(lián)系起來(lái)。然而，在保護(hù)敏感資產(chǎn)時(shí)，您不應(yīng)忽視物理安全。

采取行動(dòng)： 在規(guī)劃中包括對(duì)辦公室布局的評(píng)估以及未經(jīng)授權(quán)的物理訪問(wèn)敏感信息和資產(chǎn)（例如服務(wù)器、計(jì)算機(jī)、紙質(zhì)記錄）的難易程度。評(píng)估完成后，實(shí)施策略和政策以防止未經(jīng)授權(quán)的物理訪問(wèn)。政策可能包括控制誰(shuí)可以訪問(wèn)辦公室的某些區(qū)域以及在旅行時(shí)適當(dāng)保護(hù)筆記本電腦和手機(jī)。在  FTC 的網(wǎng)站上了解有關(guān)物理安全的更多信息。

10.當(dāng)我購(gòu)買(mǎi)新軟件和設(shè)備時(shí)，會(huì)自動(dòng)獲得安全保護(hù)

某些東西雖然是新的，但并不意味著它是安全的。

采取行動(dòng)： 購(gòu)買(mǎi)新技術(shù)時(shí)，請(qǐng)確保它與最新軟件配合使用，并立即將制造商的默認(rèn)密碼更改為安全密碼。創(chuàng)建新密碼時(shí)，請(qǐng)為帳戶或設(shè)備使用較長(zhǎng)且獨(dú)特的短語(yǔ)。注冊(cè)新的在線賬戶？請(qǐng)務(wù)必在開(kāi)始使用該服務(wù)之前立即配置您的隱私設(shè)置。查找有關(guān) 保護(hù)新設(shè)備的信息。