网络攻击|你会在什么时候开始应对网络安全呢?
有调查报告显示, 企业管理者仅是口头关注网络安全,这是否完全反映我们的现实生态呢?的确,这些调查报告结果不难在很多大型网络事故找到一点蛛丝马迹。
报告显示,只有一小部分企业愿意在聘请网络安全员工,或对员工进行安全培训时,投入大量和持续资金。但另一方面,每当企业一旦遭受勒索软件攻击,他们会较愿意支付庞大勒索赎金,以保障公司或客户机密不致外泄,从而淡化事故对公司形象的损害。
其实,备有稳健的网络安全计划方可令企业免受长期损害,并达到节省资金的效果。
我们从以下四个核心来审视一个有效的网络安全计划:
一)先发制人的行动
预防是最好解决问题的良方,这是不争的事实。
管理层应该尝试放下以往思维,把网络安全事项视为公司的重大决定。IT 部门专家亦应有相当的发言权。这样,提升网络安全就不会只是纸上谈兵。
与其随时准备庞大勒索赎金,倒不如投放在培养网络安全人才,以及在一般员工对网络安全的培训,才是长远有效的网络安全政策。
今年,香港互联网注册管理有限公司(HKIRC)正式启动本港首个免费企业自助网络安全培训平台 ── Cybersec Training Hub,当中「基本员工培训」课程为各行各业的企业员工提供具认证的网上专业培训。大家也可以考虑鼓励部门员工参与哦!
负责制定网络安全计划的公司高层亦需要加强网络安全意识,为此 Cybersec Training Hub 亦最新推出了「高级管理培训」课程,为公司高层度身订造了免费网上培训。
二)责任和问责制度
员工需要知道他们在发生网络安全事件时的角色,和他们应该如何应对事件。
有了责任和问责制度,员工对网络安全事宜就会更加谨慎主动。企业应定期举办有关网络安全的讲座和培训,提升员工的网络安全意识。
三)拥有正确IT架构、安全和恢复流程
在网络安全的保障和恢复过程中,具有适当的IT体系结构、恢复时间目标以及安全策略对企业的发展有相当大优势。 当然,系统和流程只有正确实施并满足业务需求的情况下才能工作。
定义明确、正确实施和编排的架构以及安全备份可以节省数百万美金的数据赖及勒索软件成本。
四)吸取教训并实施变革
在任何网络安全事件之后,企业都需要从中汲取经验及学习,避免事件重复发生。 我们必须在公开、诚实和无责备的情况下进行检讨。
业务表现如何? 每个人都有履行职责? 员工是否进行了有效沟通? 现有系统与流程表现如何? 有否进行全面审查,了解哪些有效,哪些需要改变。
一旦了解这些因素,并确定弱点,企业就可以专注重新设计或更新架构和程序,以及重新培训员工。
常言道,心态决定命运。你对网络安全的心态如何,你要在网络安全发生后的工作就如何!
网络安全是一个在网络攻击发生前,或者更加前开始的过程。 它不是网络危机得出的结论,反之,每当企业在每一事件中学到的一切,并进行必要修正和更改,以避免它再次发生。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
