純買產品非良策 企業保安應全民參與

| 鍾案平 | 22-08-2017 21:43 | |

【e-zone 專訊】吝嗇固然不是美德,但投資也要使得其所,尤其企業保安。肆虐全球的勒索軟件(Ransomware)迫公司加強防範,保安方案商和顧問乘機做生意。不過有報告指,「視若無睹」和盲目投資隨時適得其反。英國電訊(BT)聯同畢馬威會計師事務所(KPMG)發表《網絡安全之旅 — 從否認到機遇》(The cyber security journey – from denial to opportunity)報告,顯示企業處理確保資訊保安時常陷入兩種極端,一是「否認」及「擔憂」,一是「盲目自信」,最終要上「慘痛的一課」。 

《報告》又指,企業開始時會投資防火牆及病毒防禦軟件等方案,但有些已經從「否認」階段進入持續「擔憂」階段的公司,會將投資最新技術視為最佳方案,往往會不加思索便大手投資。這種誤解十分常見,這樣這些企業反而會成為網絡罪犯的目標,或遭 IT 產品銷售人員誤導,浪費金錢投資。

《報告》建議,企業可參照英國國家網絡保安中心(NCSC)指引等「最佳實踐(best practice)」,評估保安程度,發現漏洞及優先考慮投資的部分。董事局以至全機構所有人必須承擔「網絡衛生」責任,企業亦要培訓員工,提高網絡保安意識。事實上,網絡保安在公司董事局的討論太少,往往只視為單獨事件,並未被納入整體業務營運策略。《報告》亦稱,太複雜的 IT 架構會加劇安全漏洞,這種情況在部署技術難以應用或缺乏整合性時更加明顯。

管理層應親身參與

事實上,保安應全公司參與,而非僅由「IT 佬」買方案裝完便當完成任務。思科(Cisco Systems)早前訪問近 3,000 名行業保安主管,結果發現只有不到三分之二企業會調查網絡保安警報,在醫療及運輸等行業數字則近 50%。即使在金融和醫療等對網絡保安回應最迅速的行業,他們僅能為業務緩和少於 50% 已知且真確的攻擊。在大多數行業中,至少 9 成企業受到入侵後會適度改善保安措施,但交通運輸等行業的保安回應能力則較弱,僅得 8 成。思科建議企業盡早讓管理層參與網絡保安項目,確保他們全面了解風險、回報及預算限制,並定立清晰指標,藉此驗證及改善網絡保安措施。

Palo Alto Networks 之前發布《亞太區網絡安全狀況》調查,香港受訪者認為,打擊網絡罪行面臨最大障礙是要跟上最新的保安方案步伐,以及缺乏網絡保安專業人才。很多本地公司「隨意選配」方案,欠缺系統化部署維持網絡安全,更只有 17% 受訪者表示他們已使用外部空間備份數據,僅 3 成表示他們實施防勒索軟件措施。此外,52% 受訪者稱已增加保安開支,但 52% 受訪者認為公司員工對網絡安全的認識不足。

除了錢,香港公司還有很多工夫要做才能保持平平安安。

Source:ezone.hk

相關文章

Page 1 of 21