“实现良好、顺畅安全的关键在于理解业务的需求和运营,从而高效地围绕它们构建控制措施。安全应该内嵌其中,而非外部喷涂。”
高级安全工程师 - Dan Perry
什么是信息安全?
信息安全管理通常是信息风险管理的一部分,信息安全(常缩写为“Infosec”)是减少和消除 未经授权访问、使用、披露、中断、删除、损坏、修改、检查或记录的风险 的过程。
为了保护信息,在当今环境下尤其涉及大量个人数据,企业必须遵循以下原则以最佳方式处理数据存储:
“CIA三元组”
机密性
机密性原则旨在确保私密信息保持私密,只有需要该信息来完成工作职责的个人才能查看或访问。
完整性
完整性原则旨在确保数据可以信赖为准确无误,并且未被不当修改。
可用性
保护支持系统的功能,确保数据在用户需要时(或满足时间周期要求)完全可用。可用性的目标是确保数据在需要时可供使用以做出决策。
请参阅本文末尾的Purple信息安全资质认证!
“建立声誉需要20年,而一次网络事件几分钟就能毁掉它。”
安全漏洞的形式
中间人攻击(MitM)
MitM攻击 发生在黑客秘密中继甚至可能篡改双方通信时,而双方以为他们正在直接通信。
MITM攻击的一个例子是主动“窃听”,攻击者与受害者分别建立独立连接,并在他们之间中继消息,使其以为正在通过私有连接直接对话。
网络钓鱼
网络钓鱼 是指攻击者试图欺骗用户做“错误的事情”,例如点击一个将会下载恶意软件的不良链接,或将他们导向一个可疑网站。
网络钓鱼可以通过短信、社交媒体或电话进行,但“网络钓鱼”一词主要用来描述通过电子邮件发起的攻击。
拒绝服务(DoS)
拒绝服务(DoS)攻击 旨在关闭机器或网络,使其无法被预期用户访问。DoS攻击通过向目标发送大量流量或发送触发崩溃的信息来实现这一点。在这两种情况下,DoS攻击剥夺了合法用户(如员工、成员或账户持有人)所期望的服务或资源。
DoS攻击的受害者通常是银行、商业和媒体公司或政府和贸易组织等知名机构的Web服务器。尽管DoS攻击通常不会导致重要信息或其他资产的盗窃或丢失,但它们可能使受害者在处理上花费大量时间和金钱。
“安全不是买来的,而是做出来的,并且需要人才来把它做好。”
安全漏洞的后果
收入损失
这一后果很大程度上受黑客选择的网络攻击类型影响,然而数据泄露会导致额外的 安全成本、市值损失,以及赔偿受影响客户的费用。
声誉
虽然企业收入的短期打击可能看起来不太严重,但真正的代价会随着时间的推移显现。一旦安全漏洞的消息传出,合作伙伴和潜在/现有客户可能会毫不犹豫地“弃船而逃”,使企业收入遭受更大损失。
法律诉讼
罚款、罚款,还是罚款。
世界各地有许多企业必须遵守的法规,例如:
- 欧洲 - GDPR(GDPR是一项欧盟法规, 英国不再适用 )
- 英国 - 数据保护法
- 中国 - 个人信息保护法
根据英国GDPR和DPA,可处以的最高罚款为 1750万英镑 或全球年营业额的4%——取高者。然而,在欧盟GDPR和DPA下运营的企业可被处以最高2000万欧元(约合1800万英镑)的罚款。
运营中断
无论任何企图还是成功的漏洞事件,所有企业都将面临运营影响,因为需要广泛调查以报告损害、原因并找到源头。
在某些情况下,企业会完全停止运营以进行损害控制并制定恢复计划,而在此期间,上述所有后果都会恶化。
21世纪最大的数据泄露事件
在 20 13年,Adobe遭到黑客攻击,超过1.53亿条用户记录被窃取,包括加密的ID、密码以及借记卡和信用卡信息。
Adobe不得不支付110万美元的法律费用,而在2016年11月,据报道向客户支付的金额为100万美元。
https://www.youtube.com/watch?v=zYfx4cdFCVA
“如果你负担不起安全,你就负担不起漏洞的代价。”
Purple的信息安全认证
ISO/IEC 27001
Purple通过了ISO/IEC 27001认证,符合用于处理及存储个人数据的基于云的WiFi软件的设计和开发要求。我们的ISO认证是我们多年保持的,它确保我们拥有正确的流程、人员和技术,以按照我们对客户及其数据主体的义务安全交付产品。ISO 27001规定了一个贯穿整个业务的控制框架,从人力资源管理到加密技术。
通过以此基线为基础并扩展,以融入我们的业务目标(内部要求)和客户期望(外部要求),我们建立起了一种安全且可重复的运营方式,完全切合目的。
CyberEssentials+
Cyber Essentials计划是由英国政府和NCSC支持的相对较新的计划,旨在使中小企业(SME)能够向其客户确保安全基线,并使他们能够申请政府采购流程。
Cyber Essentials认证是一种自我评估工具,然而,出于对我们控制措施的自信,尤其是已经实施了更稳健的ISO 27001框架,我们更进一步,通过让独立认可的CE+安全合作伙伴验证我们的控制措施,获得了Cyber Essentials Plus认证。
想了解更多?了解如何保护您的企业在线安全——点击阅读
