这一问答式的操作指南将帮助您提高网络安全,包括数据存储、密码管理、防范网络钓鱼等。
去年,我们向读者询问了他们公司的网络安全操作,这是我们最受欢迎的调查之一。调查结果表明,虽然许多读者对网络安全有一定的了解,但仍有很大的改进空间。
本文为您介绍了更多细节和操作指南。
设置双重身份验证
原因:双因素或多因素身份验证(2FA 或 MFA)需要第二个代码(通常由单独的验证器应用程序生成)来验证密码。即使密码被破解,2FA 也能提供保护。
如何使用: 大多数平台都提供双重验证程序,需要在整个组织内强制激活并使用它。用户可以为自己的账户选择使用哪种身份验证程序。
删除平台上的旧账户和登录信息
原因:即使前员工不再有访问权,旧的登录名和账户也是一个不必要的漏洞。
如何操作:检查前员工的账户和登录名是否仍然存在,并停用所有已知的旧账户和登录信息。考虑你的现任团队成员是否需要他们在各系统中的访问权限,并在必要时减少访问权限。
使用密码管理器定期更新密码
原因:使用相同或较弱的密码是造成许多漏洞的 “人为 ”因素之一。
密码管理器会向你推荐既无法猜出又符合网站要求的复杂密码(一个大写字母、两个小写字母、四个大于 7 但只有一个小于 10 的数字、三个符号、你孩子的名字但不包括他们的出生日期)。它还会存储这些密码,一旦你登录密码管理器,它就会自动为你填写这些非常复杂的密码。密码管理器只会在为其使用者创建的页面上自动填写密码,从而降低团队成员在网络钓鱼事件中暴露密码的几率。
如何操作:选择合适的密码管理器,对比它们的价格、服务和评论。许多产品都提供短期免费试用,这有助于比较不同产品的易用性。
与我们交谈过的企业 IT 领导认为 1Password 和 Dashlane 是不错的选择,并建议寻找一种不保留用户密码库钥匙的密码管理器,因为如果密码管理器出现漏洞,用户的其他密码就会面临风险。
确保所有团队成员都使用密码管理器创建和存储新密码,并且只在需要时通过密码管理器相互共享密码。
建议每季度对使用情况进行一次审查。
确保及时更新设备和操作系统
原因:更新不仅能解决恼人的错误,还能修补已知的安全问题,而且越早安装越好。
如何操作:随时了解平台和设备更新,并将这些信息传达给您的团队。设定时间框架并发送提醒,让员工在所有工作设备上进行安装更新。
审核客户数据的收集、存储和使用情况
原因:持有不需要的数据会增加风险,数据可能会成为漏洞的源头。
如何操作: 评估怎样收集、存储和使用客户数据。
客户数据对会计专业人员的合规流程至关重要,必须妥善保存。英国税务与海关总署表示,公司还必须自财政年度结束后将会计记录保留至少六年。
牢记这些规则,用风险视角审核客户数据。
- 只收集当前任务所需的数据。例如,在预订首次会议或提供定价时,可能只需要最低限度的个人信息。
- 使用高强度密码和双重身份验证,加密并安全存储数据。
- 只在符合规定并获得客户许可的情况下使用数据。
审查和更新远程工作的数据和安全政策
原因:远程工作人员增加了数据安全的复杂因素。
如何使用: 即使云数据存储是安全的,也应培训团队成员只使用安全的网络访问内部系统和信息。
还应仔细考虑工作地点,以确保可见屏幕或偷听到的电话不会危及客户信息的安全。
建立或审查 VPN 的使用情况
原因:VPN 允许团队成员登录到你的网络,并安全地访问机密资源,无论他们是在现场还是远程。
如何操作:查看定价和数据隐私政策,以及合同内容(如可连接设备的数量),阅读客户评论,选择符合你需求的 VPN。选定供应商后,向整个团队推广。
设定审查 VPN 的周期。审查应包括评估 VPN 的性能,如对速度的影响(虽然这会影响到VPN的价格),以及审查团队的使用情况。
培训员工识别和应对网络钓鱼和恶意电子邮件
原因:虽然人们对网络钓鱼的认识水平相对较高,在最近的《财务会计》调查中,每 10 位受访者就有 8 位以上使用软件来检测恶意电子邮件,但骗子的手段越来越高明,网络钓鱼电子邮件往往能击败检测工具。
如何操作:应培训员工识别网络钓鱼电子邮件(包括看起来很像同事或客户发送的电子邮件)。还应培训他们不要回复,不要点击任何链接或打开任何附件,也不要转发电子邮件。如果对电子邮件的来源有任何怀疑,收件人应使用其他联系方法(如打电话)向发件人核实。
加密机密数据和设备
原因:如果有人未经授权访问您的系统,将数据加密可作为最后一道防线。
如何操作:在发送或存储时必须加密重要数据。这就把纯文本变成了 “密码”,只有使用加密密钥才能解锁。
原载自英国财务会计师公会数字资讯平台2024年3月26日文章,IFA数字资讯平台中心:Cybersecurity: Interactive to-do list - Institute of Financial Accountants