加強網絡安全,由網絡安全意識培訓開始
自互聯網興起,網絡安全一直是社會廣泛關注的話題。記得很早期時,所謂網絡安全,大部分都是關於電腦病毒,要安裝防毒軟件,不要開啟可疑網站等等。後來,隨着互聯網融入日常生活各個層面,加上社交媒介普及,網絡安全的關注也愈來愈廣闊。網上騙案、網上交友、個人私隱等等,都成為了大家關心的話題,甚至是新聞的頭條。
網絡安全課題中有一句古老格言:「用戶是安全鏈中最薄弱的環節!」。有研究分析了 2021 年的數據洩露事件,82% 涉及人為因素。員工成為黑客的首要目標,似乎是現代網絡威脅中不可避免的事實。因此,為員工提供所需的安全知識和工具,並讓他們了解為何自己會身處於風險之中,把這個「薄弱環節」扭轉成一道堅實的防線,自然就成為企業網絡安全策略的重中之重。
要推行有效的網絡安全員工培訓,必須從培訓計劃開始,以下幾個重點可以為有興趣加強培訓的企業提供指引:
- 聘用一間合資格的培訓學院、培訓師及網上培訓平台,或培訓其中一位員工成為培訓師。
- 不同的員工、角色及職位均需要接受不同範圍、種類和程度的培訓。根據不同員工的需求 來安排培訓。
- 定期發出公告或通知,提醒你的員工有關網絡安全的重要性。
- 當新員工加入公司時,通過簡介會或入職培訓等途徑通知他們有關公司的資訊保安政策。
- 每年至少舉行一次更新培訓。
培訓內容方面,除了給予特定員工,例如IT員工的專業培訓之外,基本的網絡安全意識培訓可以考慮包括以下範圍:
1. 公司資訊保安政策 (把重點放在與員工日常運作有關的規定上)
2. 有關網絡安全的基本知識,例如惡意軟件、仿冒詐騙、科技罪案等等
3. 保護IT資產的基本守則,例如:
- 何時及如何登入和登出系統
- 何時及如何更換密碼
- 如何處理用戶帳號及密碼
4. 如何獲得技術支援
5. 如何認出詐騙及何時報告可疑活動及不正常的系統反應
6. 如何保護你的個人電腦和流動裝置,如手提電話、平板電腦、筆記簿電腦等等,包括:
- 獲得最新系統和應用程式更新
- 安裝及啓動個人防火牆
- 如何預防惡意軟件
- 棄置電腦、流動裝置及儲存設備
7. 假如企業運作受法例規管,培訓內容也可以包含相關條例,最常見的是《個人資料 ( 私隱 ) 條例》。
本週重點
嚴重的網絡安全漏洞,無論是第三方攻擊,抑或是意外的數據洩露,都可能導致重大的財務和聲譽損失。最近一項研究顯示,遭受此類情況的企業,有 20% 幾乎因此破產;另一項研究亦指出,全球數據洩露的平均成本比以往任何時候都高,超過 420 萬美元。兩個趨勢都突顯了網絡安全的重要性,同時也說明了加強員工網絡安全意識的迫切需要。
當然,要中小企制定網絡安全意識培訓是很困難的,尤其培訓由HR部門主導並不具太多技術知識去衡量培訓內容。有見及此,HKIRC推出了免費的網絡安全員工培訓平台(Cybersec Training Hub),旨在降低機構向員工提供網絡安全培訓的門檻。
如何開始Cybersec Training Hub網絡安全培訓
- 記下Cybersec Training Hub網址 (cyberhub.hk)
- 靈活安排員工培訓時間瀏覽cyberhub.hk,建議可於入職簡介時安排培訓
- 在完成約20分鐘的自學課程後,員工會獲得電子證書
- 員工將電子證書發送交給人力資源部或其主管作記錄
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
