在过去二十年里,通信技术和信息技术不断融合。这种融合要求这两个领域的专业人员学习对方学科的关键领域。现在,这种融合应包括第三个学科:网络安全。
熟悉网络安全的关键实践将使通信专业人员通过以下方式为组织提供更大的价值:
- 避免服务中断
- 增强客户信任
- 防止经济损失
- 保护敏感信息
这对于业内人士来说不足为奇。然而,网络安全是一个广泛的领域,对于什么是 “最佳 ”实践有多种观点。以下是审查通信技术解决方案时需要考虑的四个方面。
治理
在网络安全中,良好的治理实践往往被忽视,但却能产生最大的影响。治理涉及网络安全的多个非技术方面,首先是了解您正在保护的资产,并了解该资产(设备、服务或软件)的潜在风险和影响。这可以是简单的电子表格,也可以是全面的资产管理解决方案。无论复杂程度如何,资产管理和风险评估都能简化网络安全决策,将关注点从 “一切 ”缩小到 “影响最大的因素”。
横跨所有三个学科的另一个关键治理领域是法规和标准。许多行业领域都有影响网络安全的特定法规和标准。了解这些法规和标准也可以简化网络安全决策。
数据隐私法规正在成为网络安全中最具规范性且经常被忽视的领域之一。之所以经常被忽视,是因为要确定在特定情况下适用的法规可能很复杂。隐私法规的适用可能取决于地理位置、行业、收集的信息和涉及的各方。
许多行业或供应链也符合信息保护实践的特定网络安全标准。确定这些标准可以使网络安全选择更加容易。例如,DoD 的供应链要求各组织遵守一定程度的 NIST 800-171(网络安全成熟度模型认证(CMMC))。
运营
有效的运营实践会对网络安全产生重大影响。这些实践会影响组织内个人的行为,从而影响整体网络安全。虽然许多通信专业人员都制定了这些操作规范,但将网络安全因素纳入其中可进一步提高项目的成功率。
可以考虑以下一些关键的网络安全操作实践:
- 用户教育:员工是组织内的 “人肉防火墙”。对用户进行网络安全教育,可以减少网络钓鱼和其他社会工程学漏洞的影响,从而大大加强运营。
- 变更管理:管理组织内的技术变更可以大大提高系统的可靠性和安全性。确保变更管理包括网络安全考虑因素,并纳入有效的用户入职和离职程序,可以提高项目成果。
- 事件响应:有效解决小事件可以显著降低重大网络安全漏洞或业务中断的风险。虽然并非每起事件都与网络安全有关,但系统地管理它们可以减轻它们对组织的影响。事件响应和管理的准备工作应包括沟通计划、常见情况的缓解策略以及从以前事件中学习的过程。
- 网络安全评估:运营实践永远不会完美,应该不断改进。定期检查或评估对于确保网络安全实践与组织目标、治理标准和法规保持一致至关重要。
端点和设备 – 监控和管理
从网络安全的角度来看,端点设备因其数量庞大而构成最大的风险之一。通信技术项目通常会集成现有设备(如工作站、笔记本电脑、移动设备、服务器)或引入新设备(如模拟网关、物联网设备、传感器)。管理这些设备的安全可能具有挑战性,但许多新的设备管理解决方案(通常作为服务提供)可以简化这项任务。关键是要确保对所有终端设备进行管理和监控。设备补丁和软件更新等简单的做法可以大大提高安全性。鉴于网络攻击的复杂性,监控端点设备并对安全事件进行集中记录也至关重要。人工智能(AI)工具可以进一步增强这些能力。采用这些实践和工具可以大大提高通信项目的成功率。
数据安全
如前所述,数据安全和隐私对于通信技术、信息技术和网络安全领域至关重要。有几种标准做法可以提高组织关键数据的安全性。
- 安全身份验证:实施一种强大的方法对用户和设备进行安全身份验证对数据安全至关重要。控制对数据的访问并确保用户和设备的真实性是组织安全的基础。多因素身份验证 (MFA) 是安全身份验证的关键,但还应辅以对设备(如物联网设备、非用户设备)进行安全身份验证的方法。虽然所有设备的操作系统都有可能被入侵,但安全身份验证有助于将潜在影响降至最低。
- 网络隔离和安全网络:不同的设备会带来不同的安全风险,因此从安全角度来看,不应对它们一视同仁。重要的是要根据其相对风险对网络和设备进行分隔并确保其安全。资产管理和风险评估治理流程可为实施隔离和安全提供模板。
- 加密通信和数据存储:数据安全的一个经常被忽视的方面是应用程序内部和应用程序之间使用的安全通信和存储方法。认识到没有一个网络是天生安全的,所有通信都应加密。同样,任何重要或私人数据在存储时都应加密。确保所有通信技术项目都考虑到这一要求对于组织数据的整体安全至关重要。
- 域名系统 (DNS) 和电子邮件安全:通过电子邮件和其他依赖 DNS 的系统进行通信的持续风险意味着保护这些系统极其重要,但有时会被忽视。保护这些系统有两个关键方面。首先,确保组织的 DNS 托管在安全可靠的位置,并通过安全身份验证方法限制和控制对 DNS 管理的访问。其次,确保 DNS 记录本身是正确的。例如,启用电子邮件安全技术和记录(如 DMARC、DKIM 和 SPF)将提高电子邮件通信的安全性。其他通信工具通常也有类似的设置。
- AI 通信工具:越来越多地使用 AI 工具来增强通信,这可能会使组织面临潜在的数据隐私和数据泄露风险。这可能包括智能助手、聊天机器人、自然语言处理 (NLP)、个性化通信、自动翻译和内容审核工具。当 AI 解决方案处理请求时,它会使用数据集来生成结果。一些解决方案使用更大的公共或开放数据模型,这可能会带来风险,因为您的数据可能会成为这些模型的一部分,从而带来数据泄露的风险。在实施任何 AI 解决方案之前,意识到这些风险并确保完成全面的风险评估至关重要。
许多通信技术专业人员已经在考虑这些网络安全注意事项。将这些实践纳入其中将为通信技术项目增加重大价值,并有助于其长期成功。通过加深对这些网络安全实践的理解,通信技术专业人员可以进一步增强其网络安全能力。
作者:Scott
来源:https://www.nojitter.com/security/securing-future-cybersecurity-tips-communications-technology-professionals
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/zixun/52300.html