一盎司的预防可能是你的百万美元治疗:家族办公室和网络安全

这简直是噩梦。周一早上，你漫步走进办公室，开始了忙碌的一周。当你打开电脑时，你会看到它——一个巨大的、不祥的骷髅，后面跟着嘲弄的文字，说你最敏感的文件已经被加密了。把它们拿回来并防止它们被丢弃到暗网上的唯一方法是在接下来的24小时内给犯罪者发送100万美元的比特币。

这不是牵强附会的情节，也不是好莱坞大片的情节。这是勒索软件攻击。勒索软件是一种流行的恶意软件(恶意软件)，易于获取，部署相对简单，正如场景所示，它可以非常有利可图。

如果你的家族办公室遭到勒索软件攻击，你知道该怎么做吗?对许多人来说，答案是否定的。然而，家族办公室尤其容易受到网络威胁。利用家族理财室的超高净值个人经常出现在公众视野中。此外，许多家族办公室依赖于精简的员工，这些员工经常出差，从不同的地方获得重要的财务和个人身份信息(PII)。效率和安全性之间的平衡可能很棘手，但保护您的技术并锁定对有价值数据的访问应该是一个存在的优先事项。

以下是你应该采取的一些初步措施来加强你的网络安全。

你们有记录在案的网络安全政策吗?如果没有，是时候创建一个了。你的人员既是你的第一道防线，也是你最大的弱点。确保你的员工知道你的期望和他们的责任，并定期培训和测试他们，以确保他们遵守。敏感信息应如何存储或传输?如果员工点击了可疑的内容，他或她应该怎么做?只需要一个人就会犯一个代价高昂的错误。明确的、可执行的政策和程序是不可替代的。

重复使用密码是有风险的。当个人在多个帐户中重复使用密码时，一个帐户的入侵会威胁到所有其他帐户。为了避免这种风险，最好的策略是为每个帐户使用复杂、冗长和唯一的密码，但这样的密码对任何人来说都很难跟踪，更不用说一个办公室或一群人了。这就是密码管理器的用武之地。一个有信誉的密码管理器会为你创建强大的密码，然后以加密合理的方式存储它们。

除了使用强密码外，只要可用，就启用多因素身份验证(MFA)，特别是保护对高后果系统的访问。MFA允许您添加除用户名和密码之外的其他验证，以确认用户身份并保护对帐户的访问。注册可信设备、指纹扫描和安全密钥都是MFA的例子。

电子邮件通常是网络罪犯最喜欢的工具。如果员工不假思索地点击链接或打开附加的电子表格，该员工可能在不知不觉中将恶意软件下载到您的网络中。商务邮件妥协(BEC)是另一个流行的，如果邪恶的策略。BEC攻击是一种骗局，骗子假扮高管或客户，目的是让目标发送金钱或敏感信息。有时，欺诈者只是欺骗一个公开可用的电子邮件地址。在其他情况下，犯罪分子破坏了服务器或劫持了帐户凭据。不管用什么方法，教训都是一样的:永远不要条件反射地相信你收到的电子邮件。在联系之前，一定要依靠电子邮件以外的多种方法来确认发件人的身份和意图，不要通过不安全的电子邮件或短信传递敏感信息。

培训员工发现并挫败社会工程计划是难题的一部分，但仅靠培训是不够的。就像你会服用维生素来增强身体的免疫系统一样，你也需要在你的家庭办公室做类似的网络工作。首先，在所有用于商业活动的个人电脑和笔记本电脑上运行信誉良好的美国制造的防病毒产品。这样做将保护这些设备免受未来恶意软件的入侵，并清除任何现有的感染。保持设备上所有软件(包括操作系统和浏览器)都是最新的，并在可用的地方打开自动更新也是至关重要的。软件公司通常在他们发布的每一个更新中都包含安全升级(称为“补丁”)。立即安装这些更新将有助于保护您的设备。当然，正确地做到这一点需要对企业正在使用的所有设备和软件有一个准确的清单。

从远程位置旅行或访问信息带来了一系列独特的网络风险和挑战。一个最好的做法是避免使用公共Wi-Fi热点，这会使你的通信和互联网流量容易被拦截。相反，用你的手机创建一个个人热点，并通过端到端加密通道LTE连接。您可以并且应该以虚拟专用网络(VPN)的形式应用额外的保护。一般来说，旅行时，对随身携带的设备要挑剔，不要让它们无人看管，不要使用公共电脑或公共充电线或USB端口。

虽然社交媒体让我们可以分享信息，与朋友联系，但它也可能被网络犯罪分子用于欺诈计划甚至敲诈企图。例如，与度假计划相关的帖子可以用来确定你的房子什么时候会空出来。对于那些知名度很高的人，如运动员、艺人或其他名人，收购Instagram账户可能会带来财务和声誉方面的后果。一定要限制你在社交媒体上分享的内容，并锁定你账户上的隐私设置。此外，只给应用程序他们真正需要的权限，因为授予访问你的照片、位置、相机、联系人等，使你的数据和个人信息可供应用程序所有者使用。

为了将您的网络安全提升到一个新的水平，您可能希望聘请网络安全专家的服务。网络安全专家可以进行漏洞评估，教育您的员工和客户，评估您的供应商，并就加密工具、网络保险、文档存储、网络监控等提供建议。