图片45
物联网安全需鼓励公司内的安全文化,并将您的安全观念传递给他人,比如第三方供应商或服务商。举例来说,指定一位高管对产品安全负责。另外,在供应商合同和监督下,保证数据的隐私和后续保护。
建立清晰的员工安全期望。为你的员工提供定期的安全培训,包括如何识别最新的威胁和漏洞。由于您组织中的某些人员可能不太熟悉技术和安全,因此您的培训对于这些人是有效的。举例来说,培训对于IT安全专家和行销专家来说应该有所不同。
定期对设备工程师进行安全和隐私方面的培训,定期发送安全和隐私提示,以帮助预防设备工程师成为目标钓鱼等社交工程策略的受害者。在成功之后,网络钓鱼会让网络罪犯访问你客户的设备——比如,因为你的工程师给了管理密码。
对第三方安全措施表示同意。当你和服务供应商合作时,要确定他们有维护和维护合理安全的能力。在合同中加入安全标准(例如,供应商应该采取合理的安全防范措施,比如加密)。并且采取合理的措施,确保继续遵守这些安全标准。举例来说,如果你要求你的服务供应商承诺不再重新识别这些数据,那就去监督它们以确保它们遵守承诺。
在一开始,正确而明确的交流可以为您以及您的客户节约大量的安全事故费用。
关于安全问题的沟通,要尽量简明,清楚,直接。用通用的名字和描述可能会让你的客户迷惑。请勿在站点上使用复杂的专业术语或者难以找到的超链接。在收集客户资料时要透明。说明收集到的数据,以及您是如何和为何收集它们,以及您打算如何保护它们。切记,你的客户可能拥有不同程度的技术专门知识,所以,你必须根据自己的能力来进行交流。向客户提供一种方便的方法,让他们联系你,询问他们的问题和关切。
请考虑在购买之前披露特性和支持。在购买物联网设备的时候,他们通常是希望买的产品能正常工作,而安全控制则是默认设置。这类预期包括所有基础功能需要的技术或其它支持。如在产品的使用寿命期间不受隐私和安全保护,请如实告知。用户应该知道你将为你的设备提供多大程度的安全升级,以及如何升级。使用者希望安全装置有「有效日期」吗?也有可能是他们希望能够无限期地使用全功能设备。
革新和用户交流方式。有些物联网设备可能连屏幕都不用,因此制造商应该考虑在销售点或销售结束后,帮助人们注册安全支持通知。把安全性和行销沟通分离开来,这可能导致你的客户无法接受这些信息。
不要等出现安全问题后再通知客户。考虑一下你会怎样让他们了解维修。就安全问题而言,时间往往不在你这一方,尤其是当安全问题不仅仅涉及到你的行为时,你的客户也会这样做。如果某人发现了问题,你就设计一个修补程序来解决它。第一步很重要,但是工作尚未完成。只有用户安装后,安全补丁才能有效。所以,一定要制定应急计划,处理问题,告知客户在出售之后要进行修复和修补,以及如何使用补丁。