从可接受的使用政策到远程工作指南,明确所有访问企业IT资源的人员的规则和程序是IT安全的基本原则。
对于许多企业来说,IT基础设施已经扩展到看似无边界的程度。许多员工在远程或混合模式下工作,基于云的服务已成为常态,边缘计算和物联网正在持续增长。
这在某些方面是有利的,例如保持员工满意度、增加需要数据人员的访问权限以及增强数据分析等,但同时也增加了网络安全风险,因此,企业必须不断重新审视其IT政策,以确保这些政策是否需要更新,并在出现新的技术使用案例时,保持警惕并定义新的政策。
以下是一些重要的IT政策,供企业参考以确保更加安全的运营环境。
可接受使用政策
这是任何网络安全计划的基本之一:确保整个企业正确使用IT资产。可接受的使用政策描述了企业认为其资产和数据的可接受使用,简言之,这项政策解释了员工在使用公司资产时的期望。
通过为用户提供指南,说明他们可以做什么以及如何做事的限制,企业可以减少风险。
“在制定IT政策时,最关键的领域之一是资产和数据的可接受使用,包括用户行为。”在线商业指南提供商Step by Step Business的联合创始人Esther Strauss说。
“这项政策对于维护企业IT基础设施的完整性和安全性至关重要,”Strauss说,“可接受的使用政策对员工如何使用公司资源(如计算机、网络和数据)设定了明确的指南。”
这项政策在多个方面是必要的,首先,它有助于防止资源滥用,这可能导致安全漏洞。例如,员工可能会通过访问未经授权的网站或使用不安全的个人设备而无意中下载恶意软件。
其次,有效的使用政策有助于保护敏感数据,它提供了有关如何处理、存储和传输数据的指南,这对于确保符合数据保护法规至关重要。
AI使用政策
AI对许多企业来说越来越重要,但这项技术也存在风险,用户需要指导如何正确使用工具和数据。
“企业需要开始定义清晰的AI使用政策,”促销产品供应商BAMKO的IT总监Ari Harrison说,“如果已有关于数据泄露的政策,则应更新以包含关于大型语言模型(LLM)的具体内容。例如,政策应明确规定禁止使用公司信息提示工具如ChatGPT。”
通过这些政策,企业可以确保在使用新兴技术时保护其数据和系统的安全。
Harrison表示,不仅要制定可接受的AI使用政策,还要通过定义的保护措施来执行这些政策。“Microsoft Defender现在可以跟踪、警报和阻止LLM的使用,以确保符合这些政策。”他指出,“实施这些措施有助于防止未经授权的数据使用和潜在的安全漏洞。”
越来越多的公司在整合LLM的同时确保这些模型不会基于其专有数据进行训练。Harrison说:“这种方法有助于避免风险并保持对AI使用的控制。”
使用最近发布的ISO 42001 AI认证框架可以显著增强企业的AI治理方法。Harrison指出,ISO 42001专为AI设计,“该框架提供了一个结构化模型来管理AI风险,并提供了对AI使用的可辩护方法。”
数据管理政策,包括数据分类
保护数据,尤其是高度敏感的信息,是任何IT政策策略的关键部分。
Hyperproof风险管理软件公司的CISO兼IEEE高级成员Kayne McGladrey表示,公司应制定数据保护和隐私政策,以确保遵守数据保护法律并保护个人数据。
这应包括数据收集、处理和保留指南,政策执行机制,数据存储和传输的安全控制,以及数据泄露响应程序。
此外,企业需要数据保留和处置政策,以建立保留和安全处置数据的指南。
这应包括基于数据分类的数据保留时间表,安全处置不再需要用于合法商业目的的数据的程序,符合数据保留的法律和法规要求,以及数据处置活动的文档和审计记录。
事件响应政策
当发生任何类型的泄露或其他攻击时,安全团队需要做好快速响应的准备。反应时间的长短可能决定了是在攻击造成损害之前阻止它还是遭受重大影响。
McGladrey表示,事件响应政策概述了管理和响应网络安全事件的方法。
这应包括定义什么构成事件,事件响应团队的角色和责任,事件检测、分析、遏制、根除和恢复的步骤,强制报告窗口和报告机构的联系信息,以及事件后的审查和改进过程。
事件响应可以作为信息安全政策的一部分,该政策建立了管理和保护公司信息资产的框架。McGladrey表示,这应包括信息安全的目标和范围、与信息安全相关的角色和责任、一般安全原则和实践。
混合和远程访问政策
疫情永久改变了工作模式,现在员工通常至少部分时间在家或其他远程地点工作。混合/远程模式可能会长期存在,并带来一系列安全挑战。
在远程访问的常见风险中,扩展的攻击面、不遵守数据隐私法规、更容易受到网络钓鱼和其他攻击,以及访问企业系统和数据时设备和网络安全性不足是较为普遍的风险。
企业需要制定有关远程数据访问的政策。肖大学的CIO Leon Lewis表示,远程访问已经从下班后的系统管理工具发展成为过去五年中各行业现代运营的关键方面。在数字时代,为了实现企业目标,信息、软件和设置必须易于访问。
今天的企业必须在网络安全和可访问性之间取得平衡。由于金融服务、医疗保健等领域的法规增加,以及全球范围内数据隐私和保护法律的出现,这项任务变得困难。Lewis表示,通过遵循严格的安全协议,企业可以保护其基础设施并鼓励创新。
无论是教育领域的学生和教职员工,医疗保健领域的患者和医疗专业人员,还是企业世界中的客户和员工,满足利益相关者日益增长的需求需要安全的远程访问。Lewis说:“为了提供高质量的服务和遵守法律,必须在可访问性和数据保护之间取得平衡。”他说:“安全性和可访问性有助于下一代专业人士的成功和繁荣。”
