罗伯特·赫尔贾维克的注意事项: 从加密货币到网络卫生

“没有更多的借口了。我们都意识到基于互联网的威胁，并有责任保护我们的公司数据以及客户的数据。“这是鲨鱼坦克明星罗伯特·赫拉维克 (Robert Herjavec) 的说法，他是该国最著名的企业家之一。他还是国际公认的网络安全公司Herjavec Group的创始人兼首席执行官。

Herjavec的建议非常及时，而且至关重要: 这可能是迄今为止网络安全最轰动的一年。去年，政府进行了黑客攻击，国家赞助的勒索软件，公司掩盖和支付的赎金。但是，该行业的反应远非显而易见，几乎没有针对这些非常现实的问题的具体解决方案。企业主2018年有理由对公司的漏洞感到焦虑。尽管如此，许多组织领导人仍然不知道他们受到数字攻击的程度-直到这些攻击发生为止。那些意识到弱点但没有采取适当行动的人甚至更糟。

Herjavec说: “要了解您保持在线状态的资产，知道它是在云中还是仅在计算机/公司的网络上，并摆脱未使用的资产。”“始终将网络卫生放在首位-跟上密码礼节，删除旧帐户，并确保在进行金融交易时使用安全的网络。”

新货币，新漏洞。

有一种感觉是，网络安全 -- 特别是随着加密货币的出现 -- 是如此复杂，以至于机构无力保护他们的客户数据。实际上，过去一年的违规行为遵循了一些非常明显的趋势。

“我们仍然看到勒索软件和恶意软件利用未修补的网络，” Robert Herjavec说。“加密货币 '采矿机器' 是新事物，我们看到的是网络服务器的妥协，浏览器劫持，甚至是网络广告，这些广告都在与您的处理器一起开采 (加密货币) 硬币。我们还看到银行木马的复兴。每个人都应该尽可能使用双因素身份验证，并在其他任何地方使用唯一且经常更改的密码。我们可以预期网络钓鱼攻击也会变得更加复杂。“

随着这些趋势的关注，组织漏洞可以分解为几个关键挑战。首先，领导者必须确定失败的重复点和共同点。数据管道的某些方面对于运营和跨组织至关重要，并且每个方面都存在相同的弱点。一线希望: 跨行业安全漏洞的共同趋势意味着许多人也在开发解决方案，以帮助其领域的公司非常安全地运营。

网络卫生是关键。

电子邮件几乎是每个组织内部和外部职能的核心。但是，这两种类型都构成安全威胁。由于其数量和关键作用，电子邮件已成为黑客的首选武器。赛门铁克的互联网安全威胁报告2017报告说，每131封电子邮件中就有一封包含恶意软件，而这只是一种与使用电子邮件相关的攻击。恶搞更是屡见不鲜。这些欺诈性消息使人相信黑客是需要访问专有或敏感信息的同事。去年，在一次高调的恶作剧中，一名黑客欺骗了白宫的网络安全官员披露了他自己的私人电子邮件地址。

企业主可以通过对员工进行网络安全礼节培训来提高对这些骗局的认识，并鼓励健康的怀疑态度。“您必须对员工进行安全风险教育，并采用一些基本技术来尝试防止勒索软件和网络钓鱼攻击，” Herjavec说。“当主题或发件人对您的角色没有意义时，请勿打开可疑电子邮件。单击url之前，将鼠标悬停在url上，以确保目的地是真正呈现的。切勿在未验证源代码或其内容的情况下下载附件。重要的是，企业还可以控制云存储提供商的使用，并限制企业环境中的数据泄露。”

每个IT领导者都应该思考身份验证解决方案。例如，组织可以实施marc身份验证，以验证所有传入的电子邮件实际上都来自声称的发件人。此外，公司可以从专门为企业进行身份验证的供应商处购买电子邮件安全应用程序。企业还可以通过合并其他形式的通信来对冲其expsoure。内部消息服务通常比电子邮件更安全，并且可以快速验证任何可疑内容，而无需用户回复欺诈性消息。

信息存储: 一种必要的风险。

信息存储既是必需品，也是巨大的弱点。大多数组织需要存储大量数据，以符合隐私法规，实现日常任务并促进业务分析。计算已在很大程度上转移到云中。将数据存储在一个地方，只有一个故障点，不再是司空见惯的事情。

然而，欺诈者的发展与技术的变化一样快。2016年，当黑客发现Uber开发人员在Github上发布了他们的用户名和私人访问密钥时，uber泄漏了5700万用户和驱动程序的数据。这允许访问基于Uber'sAmazon Web服务的数据存储。据报道，优步向黑客支付了100,000美元的赎金，以防止泄漏。

Herjavec强烈建议企业限制对公司网络之外的云存储的访问，并确保其员工了解 “网络卫生” 的基本知识。这包括如何创建复杂的密码并旋转它们。Herjavec说: “此外，重要的是要有一个跨corp网络进行库存分析的时间表-知道连接了哪些设备，谁在使用个人设备versuscorporate设备等。”“了解终点在起作用，将确保您了解风险的范围和您可以控制的内容。”

保护运动中的数据。

并非所有数据都在组织内移动。静态和传输的信息需要不同的协议。

“在静止时加密数据，” 美国和欧洲网络安全领域的公开研究人员和数据科学家Siobhan McNamara说。“存储且固定的数据可以在不破坏银行的情况下进行存储和加密。数据存储平台将为静止数据提供安全措施。请务必将其纳入您的数据计划中。”

流动的数据更复杂，锁定成本也更高。“因此，在主机和存储系统之间移动并在各种平台上复制的数据需要单独的安全方法。这将取决于相关组织的数据需求，”Agari工程团队成员McNamara说。她和她的同事正在设计系统，以保护电子邮件免受恶意消息和网络钓鱼攻击。

McNamara说: “存储解决方案可能会在网络级别，网络设备，应用程序级别，数据库或数据集或操作系统级别对数据进行加密。”“与管理您的存储解决方案的专家交谈，并解释您的数据环境。他们将根据您的数据移动方式创建最佳的安全解决方案。”

建立保障和监督。

通常，带来最大风险的只是糟糕的数据管理。组织错误可能导致巨大的违规行为，并且与故意的网络犯罪一样昂贵。

Saks Fifth Avenue通过其网站上的链接意外泄漏了成千上万客户的敏感数据。

集中存储个人数据的信用局Equifax最近成为黑客攻击的目标，该黑客泄露了1.45亿多名美国人的社会安全号码，生日和信用卡号码。随着故事的发展，Equifax的高管们意识到他们的基础设施为网络攻击敞开了大门。然而，在违规之前的几个月里，他们未能为他们的Apache Struts软件版本实施可用的补丁。

2017年6月，一家为共和党全国委员会工作的营销公司泄露了60% 名美国投票人口的敏感数据。深度根分析意外地将信息存储在公开可用的Amazon Web Services云服务器上。其中包括大约2亿美国公民的家庭住址，出生日期和电话号码，以及政治观点和分析。政治团体使用这些分析来证明，在这种情况下，潜在的选民会陷入有争议的问题，例如枪支所有权，干细胞研究和生殖权利。

今年早些时候，瑞典运输局 (STA) 发布了有关该国军事单位和证人搬迁计划的敏感信息。STA已与IBM签约以管理其数据库和网络。但是，STA错误地将IBM的整个数据库上传到云服务器，然后以明文格式将数据通过电子邮件发送给营销人员。

显然，上述每个示例都代表了adata-治理问题。偶尔的错误肯定会发生，但是这些违规行为的巨大规模表明了纯粹的数据疏忽。可以预见的是，这些公司和机构不得不应对公众对数据处理缺乏尊重的影响。

专注于你最擅长的事情。其余的请一个专家。

数据安全是一个高度专业化的领域，与每个组织都相关。

Herjavec说: “我一直主张做你最擅长的事情，并信任专家在你不那么强大的领域支持你。”“在大多数情况下，你是在经营一家企业 -- 不能确保安全。因此，您需要在技术上的一些投资与政策中的一些基本原则之间取得平衡。您不需要立即将整个基础架构外包，但我建议您从专家那里获得反馈，并评估外包的IT解决方案，以减轻压力和风险。作为企业主，你的工作是确保安全是首要任务，让你的团队意识到风险，并在你的职责范围内控制网络卫生政策。“

给予您组织的数据所需的尊重。训练有素的专家为数据管道创建体系结构，并生成简洁的数据治理程序。这将问责制放在一个中心位置，并防止细节被遗漏。有效的数据存储策略将提高安全意识。它还鼓励员工和用户从技术和流程角度考虑最佳实践。

第一步是决定是否通过雇用内部员工或与独立咨询公司签约来为您的企业提供最佳服务。无论哪种情况，都要寻找有proventrack记录的专家。

“我们已经从每年400美元销售额的三个人发展到每年2亿美元销售额的大约300个人。我们之所以做得如此出色，是因为我们在多种技术方面拥有广泛的专业知识，我们的网络服务团队方法 (包括咨询、身份和托管安全服务) 以及我们能够找到灵活、可定制的解决方案来满足客户在企业领域的需求。在过去的15年里，这是一次疯狂的旅程，但我们现在在美国、英国和加拿大开展业务。我们热爱我们所做的事情，我们专注于网络安全。随着技术发展如此之快，威胁总是不断涌现，这个利基市场极具挑战性 -- 但是当你热爱你所做的事情，热爱这个行业时，你就能吸引一个令人难以置信的团队。我很幸运。”

虽然没有办法变得100% 安全，但组织可以采取明确的行动来大幅降低其脆弱性。彼此需要一些前期投资，但是降低风险要比在放弃后进行清理便宜得多。

聘请专家并围绕数据治理开发结构是第一步。投资于具有动态安全选项和requiringemail身份验证的存储平台将修补所有弱点。

最终，可靠安全的工具触手可及。现在是建立意识的时候了。