数字化转型极可能是一把双刃剑。随着各企业通过数字营运,使之成为更广大网络的一部分,以提高生产力,在同一个时候,网络犯罪分子也在寻找新的方法,利用全球对数字化的依赖,以得逞他们的不良企图。
尽管网络威胁对各种规模的企业都会构成危险,然而,小型企业因为资源有限和安全措施较弱,更容易成为目标。网络事故可能会带来严重后果,包括盗窃造成的财务损失、索取赎金、营业中断和昂贵的回应措施。
ADVERTISEMENT
此外,这类事故也可能会损害公司的声誉,并削弱顾客、合作伙伴,以及投资者对公司的信任和信心。
为了防范新的和看不见的威胁,中小企业必须采取各项措施,以保护它们的数字化基础设施和资产。以下4种网络安全实践法,有助你取得良好的开端。
1. 进行风险评估
“你是偏执狂,并不意味他们不会对你下手。” 这是Joseph Hellar 说过的一句话。
在网络安全方面,这个观点是正确的。非常谨慎是明智之举,因为各企业必须努力,覆盖所有潜在的漏洞,因为网络罪犯,只需要一个小漏洞就可以闯入。
在建立防卫措施之前,请对贵公司的每一个领域进行全面风险评估,尤其是多多关注网络、系统和数据管理。这么做有助于识别漏洞和可能的威胁,并可让你评估网络事故的潜在冲击。
为安全起见,可将评估范围扩大到包括第三方,例如供应链合作伙伴,并确保你的传讯管道是安全的。若你不确定从何开始,可考虑聘请专家来协助评估你的资讯科技(IT)基础设施。
此外,了解你的营业风险是制定有效网络安全策略之钥,因为它可为落实预防、检测和回应方面的安全措施奠定基础。
由于中小企业往往面对资源限制,因此,确定需要监控和投资的高风险领域,可协助更有效地分配资金。最后,应定期进行网络风险评估,以便能及时了解行业法规,尽可能地受到保护。
2. 落实数据安全措施
在2017年,一个连接到互联网的鱼缸,被利用来入侵一家拉斯维加斯赌场的网络,导致10GB的敏感数据被盗窃。尽管并非每一个数据盗贼都如此狡猾,但它凸显网络犯罪分子的不择手段。
数据泄露足以导致丢失敏感资讯,例如顾客的数据、财务记录和知识产权。开始保护数据的最简单步骤是:限制获准访问某些数据的员工。即雇员们只能访问其工作所需的特定数据和系统。
此外,为数据访问设定唯一的密码并定期更改。你亦可考虑使用多因素身分验证,以增添另一层保护。
加密是保护有价值资讯的最佳方法之一;它将数据转换为没有特殊密钥就无法读取的形式,确保被截下的数据毫无用处。此外,安装防火墙可通过过滤传入和传出的网络流量,以保护你的网络,并预防网络犯罪分子进行不必要的浏览。
另一个明智的方法是定期备份你的数据,以便在数据丢失或损坏时可以恢复数据。鉴于工作笔记本电脑和移动设备,可保存机密资讯和可浏览公司网络,因此必须设置丢失或设备失窃的报告程序。
你亦可进一步在丢失或失窃时,设置远程数据删除功能。通过采用这些实践法,各企业可降低来自外部和内部威胁的数据泄露风险。
3. 对雇员灌输网络安全教育
黑客攻击人类比攻击软件来得容易。在2020年冠病疫情猖獗期间,许多人在家工作,网络犯罪分子就冒充推特(Twitter IT)管理员,使用语音网络钓鱼来浏览一些知名人士的账户。
为了防范内部威胁,对你的雇员安排网络安全培训是至关重要的。首先是建立安全实践和政策,例如强大密码指南和安全互联网使用规则,以及处理顾客资讯的协议。
此外,落实安全意识培训计划,让雇员了解最新的网络伎俩和威胁。除了可以了解网络钓鱼策略和欺骗性链接之外,雇员们也必须做好适应选择落实新网络安全工具,以及流程的准备。
此外,培养网络安全文化亦可带来长远利益。一家机构内的每一个人,都必须了解他们在确保公司安全方面的责任。这涉及在机构的各个层面,灌输优先考虑安全的价值观,态度和理念。
4. 制定事故回应计划
根据思科2024年网络安全准备指数,有73%的马来西亚企业认为,网络事故会在未来一两年内,扰乱他们的营运。然而,只有2%的企业处于网络安全准备的成熟阶段。制定一项回应计划,对于维持营运的连续性,并最小化代价高昂的中断是至关重要的。
首先可为各种网络事故场景制定详细的计划和流程,并练习将这些计划付诸实施。这一点可通过进行网络安全“演习”做到,以对你的流程进行压力测试,并可在真正发生网络攻击时,实现更快的回应时间。
你的回应计划重要的一环是确保备份传讯到位,考量到现有传讯管道,例如电子邮件,在发生事故期间,或许不可使用的可能性,这可能会延迟你的回应。
作为你回应计划的补充,网络保险是防范传统保险保单,无法覆盖之风险的好选择。其保障范围可能包括收益损失、声誉管理费用,以及因数据泄露而招致的法律责任。
除了在恢复期间,让你的业务正常营运之外,网络保险供应商,亦可提供有关最新保护措施的见解。在当下的数字化时代,那些缺乏网络安全的企业,无疑会面对巨大的风险。
为了保护数字化资产和营运,中小企业应定期进行风险评估,落实强有力的数据安全措施,为雇员提供网络安全培训,以及制定有效的回应计划。通过采取这些措施,各中小型企业可更好的,为日后将面对的挑战做好准备。
(参考资料:1. 2024 Cisco Cybersecurity Readiness Index思科公司)
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT