隨著 WannaCry 及 Petya 等勒索軟件攻擊日益猖獗 ,英國電信與畢馬威(KPMG)日前發佈一份網絡安全報告,為不同規模的企業如何以最佳的方式管理網絡安全,以及如何將其轉化為商業機遇提供切實可行的建議。報告指,企業應避免不加思索就在 IT 安全產品上投放過多的資金,以免成為網絡罪犯的目標和被瘋狂的 IT 產品銷售人員盯上。
企業不應於 IT 安全產品上不加思索地投放資金
該份名為《網絡安全之旅——從否認到機遇》(The cyber security journey – from denial to opportunity) 的報告指出,企業在處理確保數碼企業安全的複雜情況時, 應警惕各種危險陷阱。通常企業會陷入兩個極端,一是「否認」及「 擔憂」,一是「盲目自信」,最終導致「慘痛一課」。
該報告強調,在維護網絡安全開始階段, 對於防火牆及病毒防禦軟件等的技術投資是必不可少的「萬全」 做法,但企業應避免不加思索就在 IT 安全產品上投放過多的資金。對於那些已經從「否認」 階段進入持續「擔憂」階段的企業而言,這個問題尤其重要。 因為他們將投資最新技術視為最佳解決方案。這種誤解十分常見, 這樣一來企業不僅會成為網絡罪犯的目標,亦會被瘋狂的 IT 產品銷售人員盯上。
企業一定要首先參照最佳實踐,如英國國家網絡安全中心(NCSC )發佈的指引,評估他們當前的控制程度, 從而幫助發現任何漏洞及優先考慮投資的重要領域。此外, 機構中的所有人(從董事會開始) 必須承擔起維持高標準網絡衛生的責任, 同時企業亦必須投資培訓去提升員工的網絡安全意識。 這有助於將本是安全鏈上最薄弱點的員工轉化為每個企業保護數據的 最大資產。
IT 架構過度複雜或加劇安全漏洞
儘管網絡安全問題在今天的董事會層面日益受到重視, 但該報告指出這些討論太少, 而且被視為一個單獨及與更廣泛的操作風險脫節的事件。 普遍情況下,網絡安全問題並未被納入整體業務策略中。
該報告亦稱,過度複雜的 IT 架構可能會加劇安全漏洞。 如果部署的技術難以應用或缺乏整合性,這種情況會更加明顯。
為了解決這些風險並在網絡安全方面取得真正的領先地位, 該報告呼籲企業應專注於良好的管理流程,適當整合技術, 並考慮將一些不太關鍵的安全領域外判給值得信任的合作夥伴。 以上這些,再加上行業夥伴的智能共享、 良好實踐以及得之不易的經驗教訓, 使企業能夠以不同的方式思考網絡安全。也就是說, 網絡安全問題也許不再是董事會每年討論兩次的風險問題, 而成為一個商業機會和數碼轉型的推動者。
