close

因應著中國和歐盟正加強網路及數據私隱度的監控力度,在亞洲營運的公司必需因時制宜訂制出相關的網絡安全政策和流程。

於重要巿場實施更嚴格的數據監管

中國將會於今年 5 月實施新的個人信息保護準則,更嚴格審查企業管理和使用共享用戶數據模式。新法規將會更全面地涵蓋各類型的敏感個人信息;今後,企業將需要遵循既定的安全檢測流程和程序,例如:獲得用戶同意才可以傳送數據。

輿論間討論已久的「一般數據保護條例」(GDPR)亦同步於今年 5 月份正式實施,在歐盟及其成員國居住的人民將可以更佳地掌控個人資料擁有權,當中包括:收集、使用和儲存個人數據、網路 IP 位置等。違者將會遭到罰款,新法規要求企業在並在發現數據洩露事件後 72 小時內必需向監管機構通報。

國際企業在進入擁有 14 億人口的中國巿場或 5 億人口的歐盟時,已經需要遵從上述兩項新規定,當中雖然有所差異,但均要求企業遵循更高的客戶數據保護準則。

新的數據安全保護評估清單

長遠而言,為保護您的企業,您可以重新評估相關的數據安全保護準則以應付日益嚴格的法規要求。

1. 進行網絡安全風險檢查

  • 網絡風險審查助您確定現時和未來網絡安全投資。企業威脅影響風險評估、添加以物聯網、移動性和雲端安全等新興技術的網絡安全評估,上述舉措更是相當重要,而差距分析亦有助比較分析公司現時及經提升後的風險情況。
  • 除此以外,公司亦需要作出定期評估。2017 年 AT&T 全球網絡安全狀況評估中有三分之二受訪企業承認,它們沒有進行持續網絡風險評估。

2. 建立威脅警報平台

  • 在今天分散的網絡中,不論是物聯網設備、員工移動設備以至無人機,每個終端都潛在新的接入點並影響網絡安全。透過無間斷在線的內置安全方式,可以為所有端點設計出整合平台,並透過使用總體威脅分析解構整個生態系統。
  • 這個平台可以自動檢測威脅和回應流程,對符合審查和合規性的訴求相當重要。在理想環境下,您必需建立一個回饋圈以制定靈活的風險管理策略,它可以連接內部網絡安全與每日威脅活動而作出回應。

3. 取得服務供應商支援

  • 企業需要與服務供應商合作,保護網絡及設備、用戶以及不同網絡之間移動敏感數據和應用程式。企業應更全面地了解公司的網絡流量,驗證和授權合資格的用戶,以阻止可疑活動發生。
  • 越來越多企業使用人工智能和區塊鏈技術支持客戶。人工智能工具可檢測異常行為和零日攻擊,並在有限的資源下作出防範;區塊鏈技術可助企業構建高數據完整性及營運透明度的可靠數碼網絡。

4. 持續進行員工培訓

  • 2017 年 AT&T 全球網絡安全狀態報告發現,八成受訪企業指網絡攻擊構成負面影響,只有 61% 的企業要求對員工進行網絡安全培訓 。

團隊中的每個成員都需要了解新類型的安全威脅及當中的法規。企業應定期進行(至少每年一次)員工培訓,藉由上而下的持續溝通以建立網絡安全文化。

與此同時,威脅變得越來越複雜。由不經意的入侵到資金充足的犯罪組織,黑客越來越常用大數據分析來檢測漏洞,並把人工智能應用於社交工程攻擊(如網絡釣魚),以竊取敏感數據和網絡認證。現時,每日有數百萬計的網絡安全事件發生,我們預計勒索軟件、惡意軟件和其他類型的攻擊會繼續升級,而企業的重點必須從改變用戶行為開始。

 

作者:Sharon Chan

AT&T 大中華區安全總監

Tags :at&tGDPR
Columnist

The authorColumnist

Unwire.pro 將定期邀請業界人士、名筆,撰寫有關 IT 行業趨勢的精闢分析文章。歡迎投稿。