中小型企业安全策略:第二部分
Jordan Drysdale //
我们中的一些人已经讨论过中小型企业主和运营者如今感受到的压力。我们想让你更加紧张——开玩笑的,但如果你不担心IT安全,那可能就做错了。本系列将介绍IT专业人士为我们规划的一些重要控制措施,我们试图以即使没有专职IT人员也能实施的方式呈现这些内容。
从本系列的开头开始:第一部分 - SMB信息安全管理控制介绍
第二部分:资产清单
拼图的第一块是坐下来,至少从概念上理解保持组织IT基础设施运行需要什么。你有调制解调器和电话线吗?如果服务中断,你该联系谁?找到这些问题的答案应该能让你晚上睡得更好一些。话虽如此,还有更多与清单控制相关的具体问题。
你是否有一个从零售店购买的现成设备连接到调制解调器?你知道密码或谁配置了它吗?你知道路由器是什么吗?作为任何企业的所有者,如果你自己不负责,你的工作就是将网络清单的所有权委托给你信任的人。
建立资产清单
清单管理的电子表格框架:
应为服务器、笔记本电脑和工作站分别创建电子表格,类似以下结构:
| 设备类型 | 品牌/型号 | 序列号 | 使用者 | 安装日期 | 备注 |
|---|---|---|---|---|---|
| 服务器 | |||||
| 笔记本电脑 | |||||
| 工作站 |
现在是召开员工会议的时候了。这次会议的目的是帮助大家理解,在2018年整个日历年里,公司将会进行转型,每个人都将发挥作用。询问你的员工是否曾遭遇身份盗窃。问他们是否担心被黑客攻击。一些员工会对第一个问题回答是,大多数会对第二个问题回答是。
任务分配
让我们分配一些任务。首先,找到对系统和计算机最了解的人。这个人将负责电信区域。他们需要记录调制解调器、任何交换机、路由器、防火墙、无线设备等的详细信息。接下来,团队中的每个成员都需要向电子表格负责人提供其系统的详细信息。
网络配置
安装和配置小型网络至少有百万种独特的方式。你的网络很可能甚至存在于这些独特配置之外。作为前"托管服务"团队的成员,很可能你付钱让别人安装、配置和排除网络故障。也很可能这些人仍然负责你的网络。
以下是托管服务的强烈理由:
- 网络复杂且难以管理
- 没有专职IT人员,自己管理可能是一场噩梦
- 每月花费一千美元左右,拥有一个专门的团队来应答故障呼叫并在出现问题时出现,这绝对超过了全职员工的投资回报率
- 即使假设你有专职IT全职员工,对于稍微复杂的网络,几乎不可能了解所有事情
- 最后,让别人来担心这些事情要容易得多
让我们看看最后一点:“让别人来担心你的网络。“这本身就是一个梦想,应该远离现实。立即联系你的托管服务提供商,要求提供网络设备的清单。随后再次请求服务器、工作站和笔记本电脑的清单电子表格。如果他们不能及时提供,很可能意味着他们没有这些信息。这表明他们在管理你的网络方面存在缺陷。
因此,通过几个电子表格和一个计划,你也可以维护准确的网络硬件清单。你的员工可以帮助减轻负担,并且应该感到有权这样做。
目标不是像亚马逊运营仓库那样运营你的业务,但也许有一天?
系列下一部分,我们将介绍一些软件清单策略,这些策略可以帮助你完成CSC的清单控制。
想要从撰写此博客的人那里学习更多技能? 查看Jordan和Kent的这些课程:
- 企业防御
- 假设妥协 - 带有检测和Microsoft Sentinel的方法论 提供实时/虚拟和点播形式!