帮助您评估公司的IT漏洞的七个问题

1.我的公司是否知道库存中有哪些硬件和软件资产？

考虑漏洞的第一步是创建完整的技术资产清单。如果您不知道需要保护哪些系统和数据，怎么知道漏洞是什么？将工作站，服务器，应用程序和智能手机设备的列表保持在一个中央位置至关重要。随着公司资产，产品和员工人数的增长，您是否继续对IT库存进行重新评估？随着公司的发展和壮大，您将需要一份完整的技术资产清单。

2.我们是否在有效而适当地打补丁？

您的公司应该迅速而适当地进行补丁修补，因为补丁管理不善可能会使您的公司面临潜在的威胁。零日威胁可以利用软件漏洞，然后将补丁和更新提供给公众。保护自己免受这些威胁的最佳方法是在更新可用时立即进行安装。有了补丁管理流程，公司可以在必要时推出这些更新。

3.我们是否有书面信息安全计划（WISP）和业务连续性计划（BCP），它们是否适用于组织并且针对组织？

如果您的公司需要美国证券交易委员会（SEC），则您需要制定这些计划。即使您没有在SEC上注册，最好的做法还是要有正式的计划来保护您的敏感数据和信息，并确保您的公司在任何情况下都能正常运作。如果您的公司已经制定了这些计划，这些计划是否适用于该公司？如果您的计划中某些部分对您的组织不可行或无法与员工正确沟通，那么您的计划就不会被认为是彻底的或不可行的。

4.我们是否采用多因素身份验证（MFA）？

多因素身份验证为登录增加了一层额外的复杂性，使黑客更难以渗透到您的系统中。这可以采取安全性问题，通过SMS发送的代码或指纹验证的形式。为了使MFA生效，公司必须停止在其系统和应用程序之间使用共享登录名。

5.员工是否被视为担保资产或公司责任？

通过全面的安全培训以及针对员工的政策和程序的强大沟通，应该将您的团队视为资产，而不是对安全的威胁。如果您的员工被认为是威胁，请问问自己这些后续问题。