确保新产品文档的安全性

Avatar of Author
Tal F.
on July 08, 2021 · · filed under Product Documentation Product Management Documentation Portals Product Updates Best Practices Cybersecurity

大多数公司都有信息、文件和项目,他们一贯与他们的团队合作,在他们的团队合作的同时,这些信息、文件和项目必须是安全的。此外,客户信息和其他敏感数据也必须是安全的,因此保持高水平的安全对任何公司都是至关重要的。文件安全威胁可能包括:

- 破坏安全

- 没有结构化的数据

- 不受保护的文件

- 对未经授权的数据的访问

所有这些都意味着你可能将客户信息、客户数据库、财务信息,甚至是你和你的团队正在进行的项目置于危险之中。

很多时候,公司为他们的新产品编写文件,他们需要这些信息对其他公司成员或分包商是安全的,他们与分包商合作完成产品的某些方面,但尚未向公众发布。其中一些产品有待批的专利,保护这些专利的需要是产品被破坏和未来发布之间的区别。

在你的组织中,协作和信任比以往任何时候都更加关键。这正成为一项商业要求,因为越来越多的客户期望他们的供应商是安全的。虽然文件安全可能看起来令人生畏,但你可以采取一些简单的行动来保证不出错。

内部文件安全风险是最普遍的:

1.防止员工成为网络钓鱼诈骗的受害者。

最严重的内部危险是网络钓鱼邮件。钓鱼邮件是由黑客设计的邮件,他使邮件看起来像是来自与员工所在公司相关的合法公司,并且经常有一个受害者按下的链接。在大多数情况下,一旦按下链接,黑客就可以远程访问该员工的计算机,从而可以渗透到该计算机中,获得有关公司的私人信息,以及该公司正在进行的试图在未来发布日期之前保持隐私的项目。

在最近[北美](https://techaeris.com/2020/12/08/more-employees-clicking-phishing-emails)的一项研究中,研究人员发现:

*"67%的点击者(占整体用户的13.4%)提交了他们的登录凭证,与2019年相比也大幅增加,当时只有2%的人提交了他们的凭证。

*"公共部门和交通部门最为挣扎,提交的点击率为28.4%。

*教育和金融保险业的表现比其他行业好得多,点击率分别为11.3%和14.2%。

  • 北美地区的用户在网络钓鱼模拟中最为挣扎,点击率为25.5%,整体证书提交率为18%。这意味着每10个点击者中就有7个以上是自愿泄露其登录数据的。

  • 欧洲的用户表现出较低的点击率和提交率,分别为17%和11%"。

这是一些邪恶的竞争公司用来从公司的眼皮底下窃取产品创意的策略。钓鱼邮件现在占全球所有成功攻击的90%-95%。黑客冒充值得信赖的实体,如供应商、同事、甚至客户,并要求提供敏感数据。然而,如果你知道如何检测它们,你应该是安全的确保你检查发件人的电子邮件地址,而不仅仅是他或她的名字。不正确的或明显修改过的标识,以及拼写错误和与奇怪的网站相关的奇怪的电子邮件,是其他红旗。如果你不确定,请与你的IT人员核实该电子邮件,以避免泄露任何重要数据。

如果公司合作编写产品文档,通过Docsie等平台进行密码保护和安全保护,也可以避免钓鱼邮件。它允许我们的客户以协作的形式创建产品文档,同时仍然保持安全措施,还增加了共享受密码保护的在线文档的功能。这比用电子邮件发送此类信息要安全得多,因为电子邮件可能被攻破。

2. 管理文件

当对文件的访问权限是在需要的基础上提供的,产品文件的安全性就达到了最佳状态。在产品文件中对新设计或新项目进行密码保护,并限制访问权限,是维护安全文件环境的一个很好的方法。电子文件管理解决方案,如Docsie,具有很大的潜力。Docsie对文件进行跟踪,并记录对文件的任何修改或其他活动,以及以数字形式标注的时间和日期。这些跟踪必须被持续监控,以发现可能危及产品文档安全要求的异常行为。

这也带来了实际文件被留在办公室周围供人查看的问题。至关重要的是,这种情况不能发生。确保你的同事适当地删除重要的文件(而不是直接把它们扔掉),或者如果他们必须保留这些文件,就仔细地储存它们。这就是为什么在像Docsie这样的平台上以数字方式在线保存副本是一个非常好的选择,而不是让敏感的文件在办公室里到处乱放,让社会工程黑客无意中看到。

3.留意共享设备

文件安全的另一个漏洞来源是共享设备,如打印机和扫描仪。为了减少风险,只有经授权的用户才能访问这些系统的网络应用和资源。利用你目前的安全架构,使用密码或基于智能卡的认证来保护打印机,减少对额外密码的需求。打印管理软件可用于将文件放在打印队列中,并跟踪所有文件活动。

对物理端口(USB,闪存驱动器)的访问也通常受到限制,以防止有人窃取你的私人文件或感染你公司的网络。

从外部对正在申请专利的产品文件安全的威胁也可以得到缓解。

尽管有安全防范措施,文件还是会被黑掉。为了防止安全漏洞,我们建议遵循这些最佳做法。

保持你的数据安全。

一个公司如果不使用适当的加密机制,可能是灾难性的。不用说,你们公司的反病毒和间谍软件应该是最新的。

此外,限制整个企业的互联网访问,可以最大限度地减少员工成为外部钓鱼网站的猎物或下载恶意软件的风险,从而在整个公司传播。当公共Wi-Fi是唯一的选择时,利用商业VPN和在Wi-Fi网络上创建其他安全措施也是一个好主意。

修改文件的格式

根据2021年[泰利斯数据威胁报告](https://cpl.thalesgroup.com/en-gb/euro-data-threat-report#download-popup ),由451名研究人员进行。他们调查了一系列行业的2600名高管,发现45%的美国公司在其业务生命周期的某个阶段遭受数据泄露。在2019年,数据泄露占到65%。而且,即使从2019年到今年,数据泄露已经减少,但它仍然对许多企业来说是一个巨大的问题。

以PDF格式发送文件可以消除与文件格式有关的延迟,并将数字文件转化为具有强大加密和编辑权限限制的密码保护文件,这是一种来回发送文件的好方法。然而,如果文件是一贯需要修改的产品文件,这就不太现实了。PDF确实有安全措施,但使用像Docsie这样的平台,允许你指导公司的某些成员通过云计算以安全的方式操作和改变文件,这样做更有成效。通过Docsie,你可以将某些人设置为 "管理员"、"编辑",或只是某些文件的 "查看者"。这将减少漏洞,因为只有某些人可以访问和操作文件。Docsie还允许发布的文档也可以有密码保护,所以你可以让某些拥有密码的人查看文档。这些措施意味着用户手册、政策或产品指南不能被文件发起人或编辑以外的任何人修改,降低了伪造的危险。当利用Word/PowerPoint格式时,黑客无法检索到文件创建者的信息。

谨慎选择你的密码。

由Identity Force撰写的文章中指出,在2020年12月10日,Spotify在发现一个暴露用户账户信息的软件漏洞后,对他们的密码进行了重置。Spotify声称 "*可能包括电子邮件地址、你喜欢的显示名称、密码、性别和出生日期,只提供给Spotify的某些商业伙伴。"

这表明,即使是顶级SaaS公司也有密码渗透的弱点。这就是为什么永远不要忘记维护高质量的密码的原因!为了防止每三个月更换一次密码,我们Docsie的系统管理员主张在MFA(多因素认证)的基础上制定一个强大的密码政策。提醒你的同事注意一些基本的密码规则也是一个好主意:

密码不应该写在便条上,然后 "藏 "在键盘下面。

以下是关于制定一个好的密码的几个关键注意事项:

1.不要在多个账户和平台上使用同一个密码。

2.2.时间越多越好!在HowSecureismyPassword.net检查你的密码文件的强度。-安全-使用-强大-密码

3.确保新员工通过一个有趣的和有指导意义的内部培训课程,涵盖内部和外部的威胁是至关重要的。雇主经常通过简单的电子学习程序或工作表来解决这个问题,但这并不总是足以确保员工对危险的认识。

Docsie可以帮助你的产品文档开发、协作和发布的所有方面的安全,并能为你的文档提供密码保护。

这里有一个简短的视频,介绍Docsie如何帮助解决安全问题以及创建密码保护的产品文档: