7月9日,一名前苹果华人员工遭FBI起诉,罪名是窃取商业机密,一旦罪名成立,将面临最高10年监禁和25万美元罚款。
苹果公司秘密制造电动汽车或设计无人驾驶系统的“泰坦计划”自2014年启动以来,对外披露的信息一直寥寥,外界目前尚不知道该项目进展如何。不过此次事件一出,可能会让外界侧面了解到苹果在汽车项目上的进度。
而仅仅在一个月以前,据国外媒体CNBC称,特斯拉CEO马斯克向所有的员工发送了一封邮件。邮件的内容令我们震惊,马斯克在邮件中称特斯拉内部出现了蓄意破坏公司产业的人员,这位特斯拉员工的破坏行为包括了:将公司的内部消息共享给外界人员、更改特斯拉的操作系统代码、制造工厂火灾等。
短短不到两个月的时间,两家大型企业遭遇信息泄露安全问题,但事实上,企业所面临的安全风险绝不仅限于信息保密问题,这不禁让人思考,到底有没有什么办法能够尽可能避免此类事件的发生?
基于此,今天咱就来聊一聊企业安全的几项需求及应对策略。
1、安全事件
公司主页被纂改造成不良声誉影响,业务场景存在安全缺陷导致被恶意攻击造成财产损失,内网服务器被远程植入挖矿脚本占用大量系统资源,…各种安全事件层出不穷。
企业除了需要掌握必备的安全技能来应对安全事件的发生外,还应该充分认识到每次安全事件的宝贵性,合理、充分的利用安全事件。首先是对产生的原因、影响、危害等进行分析、评估、止血,其次是对原因进行深挖与扩展,联想到企业当前的安全威胁,使之与当前进行的安全项目甚至即将开展的、潜在的安全项目结合,发挥“一次安全事件,一波安全整改,一次企业安全能力提升”的实质效果。
而最治标治本的办法,就是在企业浏览器入口上下功夫,采取身份接入验证、设备接入验证、应用访问权限控制等可谓之最有效的办法。
2、合规检查
不少行业都会有相关机构的安全检查,比如拥有支付牌照的支付公司而言,每年多次的人民银行安全检查,各种合规性要求各种指标都需要达标。此外针对部分系统还要求过等级保护,这无疑又是一层安全的壁垒。
各种合规检查无疑是目前来说具备效果的方法之一。因为没有统一详细落地的行业安全标杆,所以很难甄别是否具备足够的安全防御水平。基本需求是“有,总比没有好”,更高的渴望是“充分利用合规检查”落实企业安全建设。
企业的安全能力与相关负责人、安全团队息息相关,究竟是务实还是专心搞政治分心做安全,往往取决于人。
3、内部问题
当手握企业大量敏感数据,当工作不再那么负责与忠诚,当个人价值观远远高于企业价值观,再受到外部的金钱诱惑,企业内鬼很容易就会产生。
“日防夜防,家贼难防”这句话说的很有道理,唯有进行一些安全建设,比如让员工远离敏感数据(敏感数据分级管理)、企业文档不落地、对重要文件进行严密保护或监控、员工上网行为管理、数据远程擦除防窃取等,才能减少该类事件的发生,从而避免企业遭受损失。
4、产品竞争力
安全不是业务发展的阻力,而是产品的竞争力。这句话听着耳熟,但说起来容易,做起来难。不过无疑也是企业安全项目实施的推动力,从产品的角度出发,让安全成为产品的一个重要特性甚至是闪光点,吸引用户并使用户放心。
这部分可向客户介绍产品的安全设计理念、先进技术、安全架构甚至提供第三方权威机构的安全评估报告证明。
合作源于信任,而信任源于安全,越早重视企业安全,企业的防护也会越早发挥作用,避免不必要的风险。
984
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
