协作
小型企业很少会为了昂贵的协作工具付费,它们更多地是选择便宜乃至免费的工具。但不管怎么说,市面上都有很多的可选方案。然而,若是对使用这些工具时的安全问题考虑不周,中小企业将会付出远超预想的代价。
文档协作工具
如今有许多为小型团队提供在线同步编辑文档的服务。它们不仅仅是文本工具,团队成员可以通过这类工具共同开发图形界面、绘制图表、编写源代码等等,操作相当便利。然而在使用这类服务前,我们有必要了解它的运作方式,包括存储信息的方法、文档访问权限、有什么可用安全设置等等问题。让工作文件保持公开可访问是不明智的行为,即使你不关心信息泄露,入侵者也可能会在获得访问权限后对项目进行肆意修改。
谷歌文档可以说是最常见的一个例子了。人们经常会使用谷歌分享文档,直接给出一个没有限制的直链。这意味着搜索引擎能够直接索引文档,让任何人都能看到这些文件。未曾谋面的陌生人可以从中找到各种各样的重要机密信息,包括员工的个人信息、客户名单和联系方式,甚至是工资记录。
应该怎么做:使用那些可以隐藏文档以免被随意查看的服务,或者至少能清楚说明文档存储方式的服务。不要忘记配置访问权限——这是一个至关重要的考虑因素。因此,如果您将Google Docs用于工作目的,请限制文件的访问权限仅限于与您共享文档的人,并且要记得在他们不需要的时候撤销权限。
云端文件存储
另一项需要谨慎对待的服务是云端文件存储服务。如果你需要传输大量信息怎么办?只要上传到云端,然后给收件人发一个链接就能轻松搞定,巧妙地避开了电子邮件大小的限制。然而,有许多文件共享服务根本不会对文件采取任何保护措施,同时文件还有可能会出现在陌生人的搜索结果中。
即便服务提供了保护措施,你也需要手动将安全设置调到最高。很常见的一个情况是,人们在注册账号,将文件上传到云之后就忘记了它。但你的密码很有可能会泄露,先前甚至有黑客从Dropbox窃取了用户密码,更不要提其他相对较小的供应商提供服务的安全性了。
应该怎么做:选择支持双重身份验证的可靠文件共享服务。一旦你把数据传到云端,之后如果你不需要再使用某个文件的话,要记得及时删除。仅固定使用一项共享文件的服务,多个服务可能会造成混乱。
项目管理环境
总的来说,这些平台为工作流参与者提供了一个集沟通、文件分享和系统化管理项目合一的工具。如果你在工作中使用这类工具讨论业务策略或传输文件,那么你不仅需要考虑今天有谁可以看见这些文件,更要考虑到日后有哪些人有相应的访问权限。部分云平台的默认设置是对所有人可见,用户可以选择隐藏项目,但用户大概率不会记得设置默认项。另外,如果有人获得了某项目的访问权,那他可能就会获得整个项目历史的访问权,这并不是理想的情况。
公司通常会将此类管理环境的访问权授予代理机构或自由职业者,这意味着他们可能今天为你工作,明天就转投到给竞争对手工作了。还有那些被解雇的员工,这些人可以在他们的权限被撤销之前下载好存档。
应该怎么做:对所有项目参与者规范项目的访问权限,将这些权限限制在与工作相关的文件上,对员工和外部人员(承包商、客户)使用不同的通信环境。并且不要忘记及时撤销前员工和自由职业者的访问权限。
额外提示
所有的服务都可能存在漏洞(当你开始使用它们时,这些漏洞可能未被发现)。此外,许多服务的客户端应用程序都有自己的问题。因此,我们建议你坚持以下原则。
- 在你开始使用某项服务之前,请仔细研究它的设置和数据处理规则,并了解人们在安全上下文中是如何对其进行审查的。
- 你的IT专家或团队(如果有的话)必须清楚地了解你使用的服务是什么,它们是如何配置的,以及谁在处理它们的管理。
- 如果你没有专门的IT人员,请为每项服务指定一个责任人,以确保在发现漏洞时及时更新客户端应用,一旦发生泄漏及时更改密码,并在需要时放出或撤销访问权限。
- 任何用于共享链接或文件的服务都有可能成为恶意软件的传播渠道。因此,每个使用这些工具的设备都需要一个可靠的安全解决方案。
卡巴斯基中小企业安全解决方案,该方案利用安装后即遗忘的工作原理,它可以防止最新的勒索软件,保护所有在线支付、有价值的文件(通过加密和备份)和应用程序(通过漏洞监控和及时的软件更新)的安全。该解决方案适用于Windows和macOS电脑、Android移动设备和文件服务器。您可以在卡巴斯基中小企业安全解决方案页面上了解更多信息并购买该解决方案。
提示