雅虎香港財經 專家視野:科網新常態 5招更安全
資訊科技發展一日千里,在過去數十年,應用範圍由大企業延伸到個人,接觸面由離線到內聯網和互聯網。數據處理由個別資料庫,發展到數據倉庫(Data Warehouse),現在更已達致雲端管理的大數據年代。
在過去兩年,由於受到新冠肺炎疫情影響,香港經歷了很多轉變,尤其是職場方面已進入「新常態」。資訊科技的應用,特別是網絡和數據安全,在這新常態下變得甚為重要。香港作為世界金融中心的一分子,更有責任去持續學習和更新知識,與時並進。
職員遙距工作容易洩密
為減低疫情擴散,香港各大企業和商業機構都實踐不同工作模式。在職權和責任許可的情況之下,職員通常可選擇「在家工作(Work From Home)」、「遙距工作(Remote Working)」或「混合模式(Hybrid)」。
無論是哪一個工作模式,都有一個共通點,就是公司需要為員工提供有效和安全的資訊及通訊工具,讓他們能在公司範圍以外履行職務。一般來說,員工需要透過電郵和視像會議,與客戶和其他部門保持聯絡。較具規模的企業,需要員工連線到其網絡,作數據分享及參與業務上的流程,甚至會透過網上合作軟件,讓團隊處理日常業務或特定的專案。
在保護數據和網絡安全的大前提下,企業在提供資訊和通訊工具時,應具備以下的監控功能:
第一,資訊工具需要有訪問控制(Access Control),以防未授權者入侵。第二,使用密碼時,要使用強化密碼,即是密碼最少要有8個字母(包括大細楷)、數字和特別標點符號,亦需要定時更新,不能使用多於3個月,而且更不能重複。第三,手提電腦軟件需要時常更新,特別是防毒軟件,過期軟件亦不應使用,以降低惡意軟件(Malware)入侵的風險。第四,若員工不需要把資料外傳,應關閉其電腦上所有USB連接埠,減低資料外洩的風險。第五,需要為所有員工的電腦,設置打印(Print out)及屏幕(On screen)水印,以防止截屏(Print Screen)、拍照洩密,以及更方便查出外洩資料的來源。
企業宜設網絡安全培訓
無論企業的網絡安全工具和計劃有多周全,黑客善於透過釣魚軟件(Phishing email),繞過監視系統,在背後作出破壞。故此,企業在人力資源方面要為員工提供有效的網絡安全培訓。
除了進行培訓,教授一般網絡安全知識之外,為提高員工的警覺性,企業還應定期安排「釣魚襲擊活動」(Phishing Attack Campaign),去測試員工對於不明來歷電郵的反應。企業更應訂下目標,確保員工對於網絡攻擊手法,在認知和防範能力上能不斷提高;目標是要把每一位員工,都能夠成為企業的人力防火牆(Human Firewall),不會落入黑客的陷阱,而變成企業在網絡安全上的弱點。
