陈国樑|中小企业4种网络安全实践法

为安全起见，可将评估范围扩大到包括第三方，例如供应链合作伙伴，并确保你的传讯管道是安全的。若你不确定从何开始，可考虑聘请专家来协助评估你的资讯科技（IT）基础设施。

此外，了解你的营业风险是制定有效网络安全策略之钥，因为它可为落实预防、检测和回应方面的安全措施奠定基础。

由于中小企业往往面对资源限制，因此，确定需要监控和投资的高风险领域，可协助更有效地分配资金。最后，应定期进行网络风险评估，以便能及时了解行业法规，尽可能地受到保护。

2. 落实数据安全措施

在2017年，一个连接到互联网的鱼缸，被利用来入侵一家拉斯维加斯赌场的网络，导致10GB的敏感数据被盗窃。尽管并非每一个数据盗贼都如此狡猾，但它凸显网络犯罪分子的不择手段。

数据泄露足以导致丢失敏感资讯，例如顾客的数据、财务记录和知识产权。开始保护数据的最简单步骤是：限制获准访问某些数据的员工。即雇员们只能访问其工作所需的特定数据和系统。

此外，为数据访问设定唯一的密码并定期更改。你亦可考虑使用多因素身分验证，以增添另一层保护。

加密是保护有价值资讯的最佳方法之一；它将数据转换为没有特殊密钥就无法读取的形式，确保被截下的数据毫无用处。此外，安装防火墙可通过过滤传入和传出的网络流量，以保护你的网络，并预防网络犯罪分子进行不必要的浏览。

另一个明智的方法是定期备份你的数据，以便在数据丢失或损坏时可以恢复数据。鉴于工作笔记本电脑和移动设备，可保存机密资讯和可浏览公司网络，因此必须设置丢失或设备失窃的报告程序。

你亦可进一步在丢失或失窃时，设置远程数据删除功能。通过采用这些实践法，各企业可降低来自外部和内部威胁的数据泄露风险。

3. 对雇员灌输网络安全教育

黑客攻击人类比攻击软件来得容易。在2020年冠病疫情猖獗期间，许多人在家工作，网络犯罪分子就冒充推特（Twitter IT）管理员，使用语音网络钓鱼来浏览一些知名人士的账户。

为了防范内部威胁，对你的雇员安排网络安全培训是至关重要的。首先是建立安全实践和政策，例如强大密码指南和安全互联网使用规则，以及处理顾客资讯的协议。

此外，落实安全意识培训计划，让雇员了解最新的网络伎俩和威胁。除了可以了解网络钓鱼策略和欺骗性链接之外，雇员们也必须做好适应选择落实新网络安全工具，以及流程的准备。

此外，培养网络安全文化亦可带来长远利益。一家机构内的每一个人，都必须了解他们在确保公司安全方面的责任。这涉及在机构的各个层面，灌输优先考虑安全的价值观，态度和理念。

4. 制定事故回应计划

根据思科2024年网络安全准备指数，有73%的马来西亚企业认为，网络事故会在未来一两年内，扰乱他们的营运。然而，只有2%的企业处于网络安全准备的成熟阶段。制定一项回应计划，对于维持营运的连续性，并最小化代价高昂的中断是至关重要的。

首先可为各种网络事故场景制定详细的计划和流程，并练习将这些计划付诸实施。这一点可通过进行网络安全“演习”做到，以对你的流程进行压力测试，并可在真正发生网络攻击时，实现更快的回应时间。

你的回应计划重要的一环是确保备份传讯到位，考量到现有传讯管道，例如电子邮件，在发生事故期间，或许不可使用的可能性，这可能会延迟你的回应。

作为你回应计划的补充，网络保险是防范传统保险保单，无法覆盖之风险的好选择。其保障范围可能包括收益损失、声誉管理费用，以及因数据泄露而招致的法律责任。

除了在恢复期间，让你的业务正常营运之外，网络保险供应商，亦可提供有关最新保护措施的见解。在当下的数字化时代，那些缺乏网络安全的企业，无疑会面对巨大的风险。

为了保护数字化资产和营运，中小企业应定期进行风险评估，落实强有力的数据安全措施，为雇员提供网络安全培训，以及制定有效的回应计划。通过采取这些措施，各中小型企业可更好的，为日后将面对的挑战做好准备。

（参考资料：1. 2024 Cisco Cybersecurity Readiness Index思科公司）