各公司都是由小做起,初時少不免會有資金較為緊絀。因此大部份企業都會儘可能精簡架構,甚至外判部份服務,減低公司的顧員數量,從而節省成本。但正正如此,不少企業都忽略了如何有效地保障資訊安全。以下就是 5 個顧主們不能忽視的資訊安全風險。
1) 業務經理必須知道重要資料的儲存位置及備有相關知識
業務經理必須清楚知道,重要資料的儲存在公司內部伺服器還是雲端,或是因近年越見盛行的 BYOD,因此儲存了在顧員的手提裝置中?無論相關資訊是由公司部門或由外判公司提供,均應該清晰地有記錄文件,包括保安控制權等資料。以上均需要業務經理、IT 部門經理經過討論後方能夠有效地實行,若能夠加入專業的法律顧問,情況則會更為理想。而詳細完整的備份流程系統及災難應變措施亦必須計劃妥當。
2) 為最壞情況作好準備
即使有充足的運作系統與完善的流程,意外亦不可能完全屩避免。水災、火災、外來賊人、內部威脅與儀器被惡意軟件感染均會為企業帶來危機。因現代企業極度依賴電腦,所以企業都應該為員工提供於物理環境受制時的應變計劃以將意外對公司的衝擊減至最低。亦如同其他一切的計劃,應變計劃亦應受反覆測試以確保其可行性。
3) 因員工提供對時下網絡攻擊的正確認識
中小企傾向相信網絡攻擊會瞄準大型企業而非自己。但明顯地,這並不是事實。因為黑客往往會希望透過攻擊中小企,從而得到其網上理財與其他相關的客戶、銀行資料用以犯罪。不幸地,若中小企受害後,銀行未必會提供預期的援助,反而是難為受害者。為避免此困境發生,中小企應向員工提供對時下網絡攻擊的正確認識,從而提升整體的保安性,防止將公司陷入困境。
4) 建設基礎保安架構
傳統的防毒軟件已不能有效地阻擋外來威脅,因此企業不應只依賴傳統的防毒軟件為公司的防護網。除防毒軟件外,亦應建設基礎的資訊保安架構,如設立白名單,各種不同的資料加密,公司無線網絡的 SSID 不作廣播等,以增加駭入的難度。
5) 徹底清理資料
在更新硬件時,應特別留意要徹底清理儲存在舊硬件上的資料,以防任何敏感資料流出。
