不論任何規模的企業組織,均難免遇上網絡犯罪、數據損失或網上欺詐事故。媒體總是高調報道網絡事故的發生,例如企業如何遭受監管機構罰款,嚴重者甚至影響企業的品牌和聲譽。事實上,即使人們在打擊網絡犯罪方面已經很努力,但談到網絡犯罪,也許沒有一個企業組織能夠完全免疫,也無法做到百分百安全。
過去一年,有些公共事業機構因遺失數據而被英國信息專員辦公室(Information Commissioner's Office)罰款。同時,罰款引起了傳媒的瘋狂關注,壞新聞接踵而來,導致這些機構深陷困境,留下了大量壞紀錄,未來更有可能承受更嚴重的後果。
最近由歐盟委員會提出修改其數據保護指令,旨於讓數據洩露事件的受害者能夠在24小時內得到通知。儘管大家尚未清楚數據洩漏的程度,以及構成了什麼問題,但信息融合的價值決定了它的重要性。根據上述改革的建議,當局有權對未遵守法例的組織或機構,作出高達100萬英鎊的罰款。
儘管小至中型企業將豁免強制聘請內部數據保安人員,但中小企還是應該考慮任命一個有足夠能力的人去擔綱此角色。由專人來管理數據保護事宜是上上策,亦有助公司應付任何收緊的立法程序。
英國政府表示,網絡犯罪每年為英國帶來的經濟損失,估計高達270億英鎊,主要原因是十分容易下手。在現實世界中,攻擊者需要知道用戶在哪裡,又要知道從哪裡入手,才能繞過門鎖和防盜警報。但網絡攻擊卻截然不同,攻擊者可以在世界任何地方作出攻擊。在權衡網絡犯罪的回報與風險的輕重下,網絡犯罪便更具吸引力。
安全問題總是與「人」有關,也是最薄弱的一環,有可能因為一個本來可以避免的錯誤而造成嚴重損害。以下有些基本步驟,能加強企業員工的資訊安全意識,讓大家都盡一分力,為公司抗衡來來入侵者。這些措施包括:
•員工不應存取可疑或不適當的網站,或打開任何來歷不明的電子郵件。
•員工要了解自己有義務保護公司的數據。
•制定周全的政策,要求流動辦公的地方擁有恰如其分的技術解決方案支援。
現時網絡犯罪技術不斷躍進,變得更有組織,反之大眾面對IT消費化和開展雲運算計劃時,產生的流動數據與日俱增,洩密風險屢見不鮮。隨著平板電腦和智能手機設備愈來愈流行,這些設備已大量進入我們工作的地方。
這對IT部門來說是一大挑戰。由於網絡會被不知名人士存取,一些易受攻擊的設備有可能正偷偷下載企業的機密數據。雖然有很多企業主管皆明白流動工作的好處,但如果因此增加數據丟失的風險,便更需要一個強大的安全政策。在工作場所內禁止大家使用個人設備和社交網絡又如何?這只會引起員工的不便,未能根治問題。因為在任何情況下,即使能夠繞過安全政策,數據洩露的問題仍然存在。
因此,企業要按自己的需要,為員工設計和實施流動設備的使用策略。建立明確的政策和程序,可以大大減低安全風險,使員工安心工作,讓他們成為高效率的工作人員。部署了穩健政策、使用流程和技術來執行保安策略後,企業組織便能有效運作。
有許多中小企都發現,雲運算有潛力成為上佳的營商工具,並有助降低基建設施成本、提高業務的靈活性。別因為擔心安全問題,而放棄使用雲端服務或第三方網絡服務。這種情況可能會進一步增加風險,但一家管理妥當的雲服務供應商,其數據中心應該企業能提供的更安全。最重要的是企業要有一個可靠的系統及安全政策在運作。
總括而言,企業要時刻確保已徹底檢查安全政策,並對基建設施和數據資產進行風險評估。同時,還要確保有關政策獲得強大支持:有穩健進程及合適技能和主動積極的員工支持。然後,善用保安技術,在適當情況下執行安全政策,目標是為員工及用戶打造最安全的工作環境。
轉貼自:http://www.smb.com.hk/content/網絡犯罪可以傷害任何企業
|