从跨国公司到小型企业，每个组织都有重要的业务内容。无论是存储客户个人信息的独立供应商，还是计划开发另一种救命药物的大型制药公司，所有组织都需要保护内容免受第三方攻击和未经授权的用户的攻击。

在过去 12 个月中，有 39% 的英国企业报告了网络安全漏洞，因此没有必要采取强有力的安全措施。然而，虽然大多数公司都采取了适当的网络安全预防措施，但许多公司并没有明确的信息安全策略，因此存在丢失有价值数据的风险。

还要检查：

公司和技术领导者的第一步是了解网络安全和信息安全之间的差异，以便在不断扩大的现代威胁环境中有效保护他们的数据。

网络安全、信息安全……？那不一样吗？

简而言之，网络安全是组织用来保护其数据、网络和设备免受电子或数字威胁的一种广泛方法。这些违规行为可能包括恶意实体未经授权访问网络、设备或内容，或者在设备或网络上安装恶意软件。为了防止这些威胁，必须实​​施网络安全控制，包括网络和 Wi-Fi 访问、硬件和软件配置以及防火墙。

网络安全术语的一部分是信息安全 (infosec)，它侧重于保护内容和数据。在这种情况下，信息可以采用多种形式，从电影和电子表格等纯数字内容到纸质文件或印刷文档等物理格式。

信息安全威胁包括物理数据盗窃、内容删除、内容完整性违规以及对数据和内容的未经授权的访问。信息安全控制可以是数字的，例如加密和密码保护，也可以是物理的，例如在文件柜中使用锁。

由于企业信息容易受到数字和物理攻击，因此除了网络安全外，企业还必须拥有强大的 IT 安全性。这两个组件协同工作以保护组织免受各种威胁。

例如，加密是一项基本控制措施，允许公司保护其内容以及设备和网络上的数据。同样，密码保护和身份验证工具（例如多因素身份验证）允许公司在访问设备、内容或公司网络之前限制访问并验证个人身份。

教育也是网络和信息安全政策的重要方面，培训应作为向员工解释原则和方法的机会。培训员工以识别安全威胁并教育他们在他们认为自己受到攻击时该怎么做，最终将有助于保护公司的网络、设备和内容。

如何保护公司信息？

虽然信息安全和网络安全策略不同，但管理这两个领域的基本原则最终是相同的。在制定公司范围的信息安全或网络安全政策时，组织应考虑 CIA 的三位一体——机密性、完整性和可用性——以帮助他们管理有效的系统：

保密

机密性原则确保只有应该有权访问内容、网络或设备的人才能访问它。为了增加机密性，必须引入一些控制，例如加密、密码保护和用户评级。组织还可以使用教育计划来告知员工和其他利益相关者保密的重要性。

正直

完整性是指内容或网络的状态，重点是确保信息、设备或网络不被更改或篡改。在信息安全的情况下，这可能是有人更改了付款表格上的银行帐户详细信息，从而损害了表格的完整性。同样，在网络安全方面，如果黑客在计算机上安装病毒，病毒在网络中传播，感染其他设备，网络和相关设备的完整性就会受到损害。

可用性

虽然网络和信息安全软件必须保护信息、设备和网络的机密性和完整性，但这些软件不妨碍访问也很重要。任何需要访问内容、网络和设备的员工都必须拥有。限制访问的因素包括停电、拒绝服务攻击以及硬件或软件故障。在某些情况下，忘记密码或不小心将设备留在家中的员工可能会限制他们对所需内容的访问。

如今，公司数据和网络的安全性对于业务成功至关重要。通过实施广泛而强大的 IT 和网络安全策略，旨在防止特定攻击，组织可以避免损害其声誉、丢失有价值的数据并最终对利润率产生负面影响。

关于作者

Sebastien Marot 是 Box 欧洲、中东和非洲 (EMEA) 的负责人。在 30 多年的职业生涯中，Marotte 曾在 Google、Hyperion 和 Oracle 等主要软件公司担任领导职务。他曾担任 EMEA 地区的 Google Cloud Channels 副总裁，此前曾担任 Google Cloud EMEA 副总裁近十年。作为 Google Cloud 的早期先驱之一，Marotte 负责 EMEA 的大部分成长和发展，包括推出 G Suite（现为 Google Workspace）。

资料来源：IDG 连接