公平地说,初创企业有很多事情要做。
从筹集资金到产品开发,到营销和公共关系,到保持理智,初创企业通常都是非常繁忙的地方。因此,尽管您的初创公司可能正在努力平衡关键要素,如领导力、人员配备、产品开发、市场差异化和客户获取,但请理解,只有出于最好的意图,我们才会在您冗长的待办事项清单中增加一项 -- 安全。
尽管许多因素,包括成本,技术意识和率先进入市场的竞争,可能会使安全性看起来像是增长的障碍,但最肯定的是,它只是什么。有些人甚至可能会争辩说,即使声称拥有InfoSec部门或员工,您的公司也不再是一家初创公司。
从最早的阶段开始,公司就需要优先考虑网络安全,以确保网络安全与业务有机地发展,如果你愿意的话,将其拼接成文化DNA。为了发展和促进对风险以及随着您的业务而增长的政策的组织全面理解,这里列出了任何发展中的公司及其领导团队应采用的七个关键安全要素。
1.坚持从管理入手。
不管你努力创造的环境有多横向或平等,并不是每个人都需要成为每件事的管理员。最常推荐给初创公司的安全规则是周到地分配服务,然后进行inpidual登录,而不是在整个公司中共享相同的用户名和密码。
为什么?因为所有公司-无论您的弹性政策多么慷慨或技术创新-都经历了营业额。每次员工离开时,创始人都不应被迫争先恐后地改变所有人员的访问权限,特别是在不满的员工 (或即将成为前员工) 可以访问您专有的和关键的IT,Ip和其他关键数据的情况下。如果应用得当,访问管理允许初创公司定制权限级别,我们的建议是谨慎地发放权限。
2.强制双因素身份验证 (2FA)
双因素身份验证正是听起来的样子 -- 除了用户名和密码之外,还需要第二级身份验证 -- 通常以带有数字代码的令牌、智能卡、手机短信甚至生物识别 (think thumbprint) 扫描的形式。
2FA特别适用于电子邮件、Git repos、数据库和云提供商等关键系统。需要密码和设备-您所知道的和所拥有的-可以在坏演员闯入之前阻止他们,并让您尽早知道出了问题。想象一下,能够阻止由矛钓鱼攻击或恶意软件造成的凭据盗窃所造成的损害-这就是2FA的美妙之处。
3.使用像1密码一样的密码管理器。
这是2016的。没有两个密码应该是相同的,并且没有理由拥有少于25个字符的密码-字母,数字和字符。因此,除了2FA之外,还可以在公司的安全策略中插入密码管理系统。密码管理器是一种软件服务,可以生成并安全地将长而复杂的密码存储在加密的虚拟容器中。它的优点是,员工只需要记住一个-希望是健壮的-密码即可解锁管理器,然后他们可以从中剪切并粘贴或自动填充到inpidual站点和服务中。密码管理器解决了您每天使用的所有站点的复杂密码问题。确保公司里的每个人都使用一个。
4.使用手机。
每当要求另一方提供敏感数据或材料 (例如电汇,密码或人员数据) 时,培训员工致电。请求是否来自与您共享隔间墙的某人的电子邮件地址也没关系。当某人确实需要访问服务时-例如,他们需要您的2FA代码才能进入Twitter-然后他们向您发送便条,要求您提供这些凭据,然后致电并与他们交谈。尤其是在一家小型初创公司,您知道每个人的声音,口头确认是避免被钓鱼的最有效方法。
5.使用GpG加密共享敏感信息
GpG Toolsworks非常适合Mac,您应该不仅对电子邮件使用加密。即使您的公司通信发生在2FA之后,并且使用复杂的唯一密码登录,也可能发生坏事。如果您要共享任何敏感信息,请对其进行加密,因为如果另一方正在对您进行网络钓鱼,则如果没有预期的收件人的私钥,他们将一无所获。而且,如果通信服务提供商 (电子邮件,Slack等) 被黑客入侵,则不必担心关键密钥被盗。
6.使用全磁盘加密
现代操作系统,例如macOS,Windows 10,iOSand Android,都带有全磁盘加密功能。使用它,并确保您公司中的其他所有人都在使用它。
Iphone迷路了。人们把笔记本电脑单独放在咖啡店的桌子上。平板电脑被塞进飞机座椅口袋,被遗忘了。事情发生了。
这些机器拥有贵公司的知识产权、战略计划以及对电子邮件、钥匙和通信的访问权限,这本质上是科技公司的命脉。同样,请确保您的设备需要密码才能打开并从睡眠中醒来。我也鼓励你加密备份。这也是现代操作系统的一项功能,因此有人无法拿起您的外部硬盘并徘徊,也无法在您离开办公桌时进行复制。
7.不要因为拿铁而失去Ip。
初创企业以其灵活的时间和从任何地方工作的态度,在给员工自由地在他们想要的任何地方工作方面非常棒。嘿,为什么不呢,因为几乎每个角落都有免费的无线网络-价格合理。
听说过火羊吗?这是一个免费程序,允许黑客从非加密代码中获取cookie,并访问您的私人信息。这意味着在公共wi-fi上与员工接近的任何人都可以潜在地访问该inpidual的-甚至是其公司的-Facebook,Twitter和LinkedIn帐户。
更糟糕的是,黑客将建立流氓还合法的wi-fi热点-即当心任何称为 “免费公共wi-fi” 的东西-因此,当您通过略读double-macchiato连接到公司VpN时,他们可以看到您通过此连接共享和接收的任何数据。解决方案-阅读上面的列表,密切关注2FA,加密,甚至网络共享到你的手机作为一个热点,如果你的数据计划和电池可以支持它。
更好的是,订阅像Dispel这样的隐私即服务平台,该平台可以为所有员工的日常浏览,电子邮件,文件传输,消息传递和社交媒体加密数据和连接,并将每个设备与相邻用户隔离。
这是一个额外的提示。不是显而易见的队长,但是请: 不要点击粗略的链接或从互联网上下载奇怪的东西,也不要研究你的防病毒软件。
这个应该不用说了,但它真的很重要,所以我还是把它放在这里。互联网上充斥着令人讨厌的东西,人们有不良意图。保持良好的数字和设备卫生对于确保数据安全至关重要。培训所有员工在下载软件时培养健康的怀疑态度。请注意确保网站SSL证书有效。并安装高质量的防病毒扫描程序,甚至是Mac用户。你永远不知道。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。