中小型企業應如何生存下去?通常我們的關注點主要聚焦在業務規劃、營銷策略、吸引額外投資等方面，但很少有人提及建立穩固的網絡安全系統。然而，缺乏對網絡威脅的清晰理解可能會使中小型企業喪失成功的機會，本文討論了一些典型的網絡安全錯誤，以及應對措施。

典型的網絡安全錯誤

中小型企業在發展成為一家成熟企業的過程中，可能會犯哪些網絡安全錯誤?

給予員工過多的訪問權限

通常來說，當中小型企業員工需要訪問公司資源或服務時，他們會立即獲得管理員權限。共享這些訪問權限的人通常認為，在不了解特定員工的真正需求及其職責的情況下，一次性授予對所有內容的訪問權限要比每周授予新的訪問請求更容易。但是，員工擁有的訪問權限越多，出錯的可能性就越大。如果企業想最大限度地減少網絡事件的數量，每個工作流參與者應該只擁有其任務所必需的訪問權限。

缺乏信息存儲規則

一般來說，這對任何企業都是不利的。但在創業公司，由于存在員工高流動率問題，企業可能會在某一天根本找不到重要的工作文件。它們很可能存在于某個地方，但究竟在哪里卻無從得知。也許會有開發人員或營銷實習生曾經知道這件事，但他們可能在沒有告知任何人的情況下就離開了公司。

密碼管理混亂

另一個常見問題是遺忘了企業社交網絡或其他很少使用的服務密碼。也許一位新員工建立了Facebook或LinkedIn賬戶來幫助企業推廣業務，但未能與其他員工分享賬戶信息，就匆匆離職或轉崗擔任另一個角色——登錄憑據已經消失，幾乎沒有恢復的機會。

有些企業可能會認為，在員工高流動率的情況下，使用共享賬戶可能是個好主意。但是，知道密碼的人越多，由網絡釣魚、疏忽或惡意意圖而發生數據泄露的可能性就越大。此外，當安全事件發生時，它會極大地增加企業對事件調查的難度。

另一個與密碼相關的錯誤是，企業將某個文件存儲在云中，這意味著任何知道該鏈接的人都可以訪問它。這樣做的明顯好處是，將必要的信息非常方便地傳遞給所有員工。然而，這樣的文檔可以被搜索引擎索引。換句話說，包含企業所有密碼的文件可能會落入壞人之手。

身份驗證不足

如果中小型企業沒有忽視工作賬戶的雙因素身份驗證，那么與密碼相關的一些問題就不會那么危險了。雙因素身份驗證使企業可以保護重要數據免受各種侵害，例如網絡釣魚。目前看來，首先需要進行雙重防護的是金融行業。

應對網絡威脅的建議

中小型企業避免犯“典型”錯誤，請嘗試遵循以下建議：

• 在授予員工對資源或服務的訪問權限時，應該遵循最小權限原則。也就是說，員工必須擁有最低限度的訪問權限——僅足以執行他們的任務;
• 準確了解中小型企業的重要信息存儲在哪里，以及誰有權訪問它。由此，在雇用新員工時制定指導方針，包括明確定義每個員工需要哪些賬戶，以及哪些賬戶應該僅限于某些角色;
• 成熟的企業網絡安全文化有助于防范網絡威脅。例如，可以從為員工創建網絡安全手冊開始，以便每個人都能保持認知同步;
• 所有密碼都必須存儲在安全的密碼管理器中。這將幫助員工不會忘記或丟失它們，并最大限度地減少外人訪問企業賬戶的機會。此外，還應盡可能使用雙因素身份驗證機制;
• 建議員工在離開辦公桌時鎖定計算機，應該讓員工記住辦公室可以被各種第三方訪問，包括快遞員、客戶、分包商或求職者等;
• 考慮安裝防病毒軟件以保護設備免受病毒、木馬和其他惡意程序的侵害。

原文鏈接：

https://usa.kaspersky.com/blog/startup-cybersecurity-mistakes/26135/