有關(guān)數(shù)據(jù)泄露和漏洞的突發(fā)層出不窮，這些數(shù)據(jù)泄露和漏洞對企業(yè)的財務(wù)和聲譽(yù)有著非常大的影響。

企業(yè)高管似乎無法擺脫預(yù)警頭條的抨擊，以及由專家組成的轟炸，這些專家就如何避免這些網(wǎng)絡(luò)安全攻擊提出了一些建議。

盡管如此，網(wǎng)絡(luò)安全攻擊仍在繼續(xù)。

更為糟糕的是，網(wǎng)絡(luò)犯罪分子經(jīng)常針對明顯或基本的載體和漏洞。

僅是2019年7月，就有很多這樣的事例：比如數(shù)百萬條記錄在亞馬遜數(shù)據(jù)庫中被泄露，還有來自學(xué)區(qū)的用戶和員工記錄被軟件漏洞暴露，再比如足球迷的財務(wù)信息被不法分子竊取等。

建立和管理強(qiáng)有力的安全戰(zhàn)略是至關(guān)重要的。

企業(yè)必須知道風(fēng)險在哪里并解決一切可行性問題，此外還需要不斷的監(jiān)測變化。

制定成功的網(wǎng)絡(luò)安全戰(zhàn)略的第一個階段是確保整個組織的全面參與，這不僅是一種共識，也是一種意識。

建立或更新安全策略將對業(yè)務(wù)和技術(shù)方面產(chǎn)生一定影響。

網(wǎng)絡(luò)安全需要被整個企業(yè)所理解，以便將其視為公司的業(yè)務(wù)推動者和競爭優(yōu)勢，而不是阻礙因素。

將關(guān)鍵決策者排除在外，可能會減緩采納速度。

策略一：考慮使用外部資源來支持設(shè)計安全策略。

沒有必要將整個項(xiàng)目外包，因?yàn)檫@可能引起內(nèi)部的不滿。

但是，安全顧問的技能和知識能夠提供關(guān)鍵的專業(yè)知識和經(jīng)驗(yàn)，因?yàn)樗麄兪煜ひ幌盗薪M織安全需求和挑戰(zhàn)，可以幫助加速項(xiàng)目并確保不忽視組織特定的考慮因素。

一旦達(dá)成協(xié)議，似乎是開始項(xiàng)目的合適時機(jī)，但是一定要等待。

定義組織安全策略的下一步實(shí)際上是退后一步,與區(qū)域領(lǐng)導(dǎo)坐下來了解他們每天的工作，包括使用哪些系統(tǒng)，存儲數(shù)據(jù)的位置以及第三方和供應(yīng)鏈與企業(yè)交互。

理想情況下，需要完成完整的軟件審計。

至少，企業(yè)需要了解正在使用的內(nèi)容，使用者以及更新的頻率。

這需要時間，而且不是一件小事。

但請記住，許多漏洞都會由于基本的安全性失誤而發(fā)生，所以這個階段非常值得投資，以確保為組織設(shè)計正確的安全策略。

策略二：值得記住的是，雖然IT有一個正在使用的軟件列表，但它并不詳盡。

部門在IT職權(quán)范圍之外購買和管理軟件是很常見的。

這些工具被稱為影子IT，在正常業(yè)務(wù)的監(jiān)視下運(yùn)行。

為了實(shí)現(xiàn)成功的安全策略，必須標(biāo)識、審計這些項(xiàng)目并將其納入內(nèi)部IT團(tuán)隊(duì)的職權(quán)范圍。

在每個人都了解項(xiàng)目影響并且很清楚需要保護(hù)、更新或退役哪些內(nèi)容的時候，項(xiàng)目就可以開始了。

業(yè)務(wù)和流程的發(fā)生方式會發(fā)生變化，這意味著一些員工可能會進(jìn)行抱怨，IT團(tuán)隊(duì)可能會接到越來越多支持部門的呼叫。

盡管存在暫時的不便，但安全策略管理應(yīng)該成為一個定期和持續(xù)的過程，一旦完成，就會對軟件、設(shè)備和風(fēng)險進(jìn)行定期審計。

沒有這個持續(xù)的組成部分，所有的努力工作都將失去價值。

此外，如果發(fā)生違規(guī)行為，理解和糾正事件所需的工作量將大幅增加。

策略三：考慮將持續(xù)的用戶教育作為安全策略的一部分。

許多安全策略在很大程度上都取決于員工，因此有必要創(chuàng)建一個安全培訓(xùn)計劃來教育用戶使用強(qiáng)密碼，如何識別虛假網(wǎng)站以及及早發(fā)現(xiàn)網(wǎng)絡(luò)釣魚/魚叉式網(wǎng)絡(luò)釣魚電子郵件的信息。

創(chuàng)建和維護(hù)一個成功的安全策略不是一項(xiàng)簡單的任務(wù)，但是有了正確的支持和外部資源，則不一定是負(fù)面的體驗(yàn)。

事實(shí)上，有了更安全的數(shù)據(jù)訪問和更好的教育用戶，最終結(jié)果將會使業(yè)務(wù)更加強(qiáng)大，能夠在當(dāng)今的數(shù)字和基于云的世界中取得成功。