陳國樑|中小企業4種網絡安全實踐法

為安全起見，可將評估範圍擴大到包括第三方，例如供應鏈合作伙伴，並確保你的傳訊管道是安全的。若你不確定從何開始，可考慮聘請專家來協助評估你的資訊科技（IT）基礎設施。

此外，瞭解你的營業風險是制定有效網絡安全策略之鑰，因為它可為落實預防、檢測和回應方面的安全措施奠定基礎。

由於中小企業往往面對資源限制，因此，確定需要監控和投資的高風險領域，可協助更有效地分配資金。最後，應定期進行網絡風險評估，以便能及時瞭解行業法規，儘可能地受到保護。

2. 落實數據安全措施

在2017年，一個連接到互聯網的魚缸，被利用來入侵一家拉斯維加斯賭場的網絡，導致10GB的敏感數據被盜竊。儘管並非每一個數據盜賊都如此狡猾，但它凸顯網絡犯罪分子的不擇手段。

數據洩露足以導致丟失敏感資訊，例如顧客的數據、財務記錄和知識產權。開始保護數據的最簡單步驟是：限制獲准訪問某些數據的員工。即僱員們只能訪問其工作所需的特定數據和系統。

此外，為數據訪問設定唯一的密碼並定期更改。你亦可考慮使用多因素身分驗證，以增添另一層保護。

加密是保護有價值資訊的最佳方法之一；它將數據轉換為沒有特殊密鑰就無法讀取的形式，確保被截下的數據毫無用處。此外，安裝防火牆可通過過濾傳入和傳出的網絡流量，以保護你的網絡，並預防網絡犯罪分子進行不必要的瀏覽。

另一個明智的方法是定期備份你的數據，以便在數據丟失或損壞時可以恢復數據。鑑於工作筆記本電腦和移動設備，可保存機密資訊和可瀏覽公司網絡，因此必須設置丟失或設備失竊的報告程序。

你亦可進一步在丟失或失竊時，設置遠程數據刪除功能。通過採用這些實踐法，各企業可降低來自外部和內部威脅的數據洩露風險。

3. 對僱員灌輸網絡安全教育

黑客攻擊人類比攻擊軟件來得容易。在2020年冠病疫情猖獗期間，許多人在家工作，網絡犯罪分子就冒充推特（Twitter IT）管理員，使用語音網絡釣魚來瀏覽一些知名人士的賬戶。

為了防範內部威脅，對你的僱員安排網絡安全培訓是至關重要的。首先是建立安全實踐和政策，例如強大密碼指南和安全互聯網使用規則，以及處理顧客資訊的協議。

此外，落實安全意識培訓計劃，讓僱員瞭解最新的網絡伎倆和威脅。除了可以瞭解網絡釣魚策略和欺騙性鏈接之外，僱員們也必須做好適應選擇落實新網絡安全工具，以及流程的準備。

此外，培養網絡安全文化亦可帶來長遠利益。一家機構內的每一個人，都必須瞭解他們在確保公司安全方面的責任。這涉及在機構的各個層面，灌輸優先考慮安全的價值觀，態度和理念。

4. 制定事故回應計劃

根據思科2024年網絡安全準備指數，有73%的馬來西亞企業認為，網絡事故會在未來一兩年內，擾亂他們的營運。然而，只有2%的企業處於網絡安全準備的成熟階段。制定一項回應計劃，對於維持營運的連續性，並最小化代價高昂的中斷是至關重要的。

首先可為各種網絡事故場景制定詳細的計劃和流程，並練習將這些計劃付諸實施。這一點可通過進行網絡安全“演習”做到，以對你的流程進行壓力測試，並可在真正發生網絡攻擊時，實現更快的回應時間。

你的回應計劃重要的一環是確保備份傳訊到位，考量到現有傳訊管道，例如電子郵件，在發生事故期間，或許不可使用的可能性，這可能會延遲你的回應。

作為你回應計劃的補充，網絡保險是防範傳統保險保單，無法覆蓋之風險的好選擇。其保障範圍可能包括收益損失、聲譽管理費用，以及因數據洩露而招致的法律責任。

除了在恢復期間，讓你的業務正常營運之外，網絡保險供應商，亦可提供有關最新保護措施的見解。在當下的數字化時代，那些缺乏網絡安全的企業，無疑會面對巨大的風險。

為了保護數字化資產和營運，中小企業應定期進行風險評估，落實強有力的數據安全措施，為僱員提供網絡安全培訓，以及制定有效的回應計劃。通過採取這些措施，各中小型企業可更好的，為日後將面對的挑戰做好準備。

（參考資料：1. 2024 Cisco Cybersecurity Readiness Index思科公司）