加强网络安全,由网络安全意识培训开始
自互联网兴起,网络安全一直是社会广泛关注的话题。记得很早期时,所谓网络安全,大部分都是关于电脑病毒,要安装防毒软件,不要开启可疑网站等等。后来,随着互联网融入日常生活各个层面,加上社交媒介普及,网络安全的关注也愈来愈广阔。网上骗案、网上交友、个人私隐等等,都成为了大家关心的话题,甚至是新闻的头条。
网络安全课题中有一句古老格言:「用户是安全链中最薄弱的环节!」。有研究分析了 2021 年的数据泄露事件,82% 涉及人为因素。员工成为黑客的首要目标,似乎是现代网络威胁中不可避免的事实。因此,为员工提供所需的安全知识和工具,并让他们了解为何自己会身处于风险之中,把这个「薄弱环节」扭转成一道坚实的防线,自然就成为企业网络安全策略的重中之重。
要推行有效的网络安全员工培训,必须从培训计划开始,以下几个重点可以为有兴趣加强培训的企业提供指引:
- 聘用一间合资格的培训学院、培训师及网上培训平台,或培训其中一位员工成为培训师。
- 不同的员工、角色及职位均需要接受不同范围、种类和程度的培训。根据不同员工的需求 来安排培训。
- 定期发出公告或通知,提醒你的员工有关网络安全的重要性。
- 当新员工加入公司时,通过简介会或入职培训等途径通知他们有关公司的资讯保安政策。
- 每年至少举行一次更新培训。
培训内容方面,除了给予特定员工,例如IT员工的专业培训之外,基本的网络安全意识培训可以考虑包括以下范围:
1. 公司资讯保安政策 (把重点放在与员工日常运作有关的规定上)
2. 有关网络安全的基本知识,例如恶意软件、仿冒诈骗、科技罪案等等
3. 保护IT资产的基本守则,例如:
- 何时及如何登入和登出系统
- 何时及如何更换密码
- 如何处理用户帐号及密码
4. 如何获得技术支援
5. 如何认出诈骗及何时报告可疑活动及不正常的系统反应
6. 如何保护你的个人电脑和流动装置,如手提电话、平板电脑、笔记簿电脑等等,包括:
- 获得最新系统和应用程式更新
- 安装及启动个人防火墙
- 如何预防恶意软件
- 弃置电脑、流动装置及储存设备
7. 假如企业运作受法例规管,培训内容也可以包含相关条例,最常见的是《个人资料 ( 私隐 ) 条例》。
本周重点
严重的网络安全漏洞,无论是第三方攻击,抑或是意外的数据泄露,都可能导致重大的财务和声誉损失。最近一项研究显示,遭受此类情况的企业,有 20% 几乎因此破产;另一项研究亦指出,全球数据泄露的平均成本比以往任何时候都高,超过 420 万美元。两个趋势都突显了网络安全的重要性,同时也说明了加强员工网络安全意识的迫切需要。
当然,要中小企制定网络安全意识培训是很困难的,尤其培训由HR部门主导并不具太多技术知识去衡量培训内容。有见及此,HKIRC推出了免费的网络安全员工培训平台(Cybersec Training Hub),旨在降低机构向员工提供网络安全培训的门槛。
如何开始Cybersec Training Hub网络安全培训
- 记下Cybersec Training Hub网址 (cyberhub.hk)
- 灵活安排员工培训时间浏览cyberhub.hk,建议可于入职简介时安排培训
- 在完成约20分钟的自学课程后,员工会获得电子证书
- 员工将电子证书发送交给人力资源部或其主管作记录
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
