今年資安界最「老貓燒鬚」事件,一定要數 McAfee 單官司,佢狀告三位前員工偷走公司機密,拎埋去敵對公司返工。 正所謂日防夜防,家賊難防,由古至今內鬼永遠係最令人頭痛同最難處理嘅問題,麥肯鍚就曾經發表過報告,話 2012 至 2017 年期間,有五成違反協議嘅個案都係同內鬼有關,都咪話唔得人驚!雖然好多企業都有一套守則,防範公司資料外洩,當中包括培訓員工提高安全處理資料嘅意識,甚至一系列保安措施,但最後都避免唔到出事,原因係真正要提防嘅係公司數據。 細水長偷 好多公司會錯判形勢,以為內鬼多數會將所有資料拎走,只要留意有冇人一次過抄走好大size嘅檔案就得;但係員工跳槽唔係尋日先決定嘅事,亦唔會臨走嗰幾日先走嚟抄檔案,尤其係根本處心積累要轉工嘅,真係三個月前逐少逐少抄定都得啦!而且老實講,好多時候員工都會外出開會或者返屋企工作,根本有啲檔案一早已抄走咗,係絕對唔需要一次過抄走 10TB 檔案咁顯眼囉! 仲有就係,其實一間公司值錢嘅檔案,size 未必需要好大,以軟件公司為例,短短幾行只係 10KB 嘅程式碼已經可以係最重要嘅機密,而食品公司記載產品秘密配方嘅文件檔都好可能只得幾 KB,所以資安專家 Rob Juncker 提議企業判斷數據價值,唔應該用…
Search Results: 培訓 (278)
作為資安長老,有很多朋友向我查詢 CISSP、 CISA(Certified Information Security Auditor)及CISM (Certified Information Systems Manager)三個保安認證資格中,哪一個比較易應付?各自的職場發展機遇如何?另外,為何有些培訓中心提供三合一課程?應該逐個修讀還是一併報考? 三種證書,各擅勝場 根據資安長老多年教授 CISSP、CISA 及 CISM 的課程經驗,我的建議還是應該先了解每個證書的認證要求,再根據自身條件,訂立學習計劃。說到要考取上述認證的方程式,我認為必須預留半年或以上時間準備,課程編排最好是每星期一次,並於每個周末抽出 4 小時溫習,勝算便很高。讀者看完今次關於 CISA 及…
欺詐之神話而家呃人,容易過 50 年前 4000 倍,唔好問點解,信就得。 《Catch Me if You Can》(港譯《捉智雙雄》)呢套經典犯罪電影相信好多人都睇過,喺戲內由里安納度狄卡比奧(Leonardo DiCaprio)飾演嘅欺詐犯 Frank Abagnale,的確真有其人,多次利用人類心理漏洞扮成法語教師、醫生、律師、機師,又涉及偽造支票,被 FBI 逮捕及服役後,轉而為 FBI 服務及開設安全顧問公司,以自己嘅豐富詐騙經驗為企業進行培訓。 資訊發達「商機」處處 Frank 最近接受傳媒訪問時首先就話,造成資料外洩嘅唔係黑客,製造漏洞嘅永遠係受害者自己或公司員工,例如唔轉密碼、將唔應該拎走嘅工作帶返屋企做、無及時更新系統檔案、無做清楚身份核對就信以為真……各式各樣嘅前設令到人類掉以輕心,以為黑客唔會攻擊自己。Frank…
雲端科技發展迅速,市場上有著廣泛的雲端服務供選擇,助企業實現數碼轉型以保持競爭力。市場調查公司 Gartner 高級研究主管 Elias Khnaser 曾表示,選擇正確的雲端服務是 IT 領導者所必須掌握的技能,因為它主宰著物聯網、人工智能等新世代應用的成敗。要真正成功實現轉型,首要秘訣是在芸芸眾多的雲端服務商中,揀選值得信賴的供應商,借助合適的雲端科技及專才支持其發展目標。不過,選擇的過程可謂複雜困難,考慮因素多,企業宜就供應商的四個方面先了解清楚: 1. 供應商的技術及服務支援能否滿足企業的需要? 雲轉移並非單單將數據或應用程式由公司伺服器搬上雲端,還須各種技術的配合。因為雲端服務供應商採用的硬件架構、技術框架或管理標準各異,與企業本身採用的不盡相同,如兩者存在的差異過大,便難以將企業內部的私有雲與雲端服務供應商所提供的公共雲接軌;所以在採用合適的解決方案前,必須全面評估供應商所提供的服務,是否能夠理解企業本身需要而作出配合?由雲轉移的資詢、部署到實行的過程中,會否得到相關專才持續向企業提供全面支援及優化建議,加快採用雲端技術和數碼轉型? 2. 供應商的發展藍圖是否符合企業的創新路向? 除了著重當下,企業還需放眼將來。不論是 IaaS (Infrastructure as a Service,基礎設施即服務)還是SaaS (Software…
數碼轉型是當今企業必須面對的問題,而在複雜性上,傳統大企業的業務眾多,透明度較低,加上採用的系統亦未必能追上新科技,以至接軌上出現斷層,轉型難度自然大增,要達成目標,便要抱著鋼鐵般的決心。成立接近六十年的華懋集團(Chinachem Group),主要業務為地產發展及物業管理,同時間亦有經營酒店業務;旗下僱用的員工數千,包括全職及兼職員工,可想而之單是處理人事管理問題已相當複雜。集團在去年十月,宣布選用企業管理及商務解決方案供應商 SAP 的軟件及雲端解決方案,以助企業轉行數碼轉型,華懋集團執行董事兼行政總裁蔡宏興笑說,公司的成與敗便全靠這次轉身。 去年十月,華懋集團宣布採用 SAP 的軟件及雲端解決方案,以助企業轉行數碼轉型。 「數碼轉型已是不可避免,公司內部早已開展轉型的研究,所以當我去年加入集團時,手頭上已有很多研究資料給我參考。」蔡宏興指出雖然有很多公司提供解決方案,但他強調今次華懋並非單純是買產品,而是要選擇一個中長線的合作伙伴,考慮到 SAP 的豐富經驗及有較長遠的支援計劃,同時亦較能了解集團面對的問題,所以便決定與對方合作,為集團的長期轉型戰揭開序幕。 聆聽思考發展空間 蔡宏興在去年接受傳媒訪問時,曾表示數碼轉型會先由人力資源及會計部的企業資源計劃(Enterprise Resource Planning, ERP)系統開始,並預計用年半時間完成。至今已約九個月,進度如何?他回應說進度令人滿意,預計很快可以讓同事測試這個系統的運作。「同事的意見很重要,雖然在職位架構下各員工的責任及條件也有不同,但我們也希望能聽到不同的聲音,因為這些意見就如機器各的小螺絲,主宰著數碼轉型的成敗。」他舉例新的管理系統,將有助集團清楚掌握酒店業務中的散工情況,「以往主要靠人手記錄上班時間,所以可能有一些慣常炒散的員工,其實是較適合以兼職合約僱用。」新系統便能自動提供同事去留意這些問題,令員工架構更清晰透明,同時亦有助減少煩複的表格遞交手續。 今年年底 ERP 系統完成轉型後,蔡宏興說集團下一步將會輪到改革項目管理系統,他說華懋集團的主力業務是地產發展及項目管理,所以希望可以透過新系統,幫助前線員工掌握更多的資訊,利用透過大數據分析,更靈活地利用收集到的數據。面對著許多新科技,蔡宏興說管理層需要好好改變心態,才能在競爭日趨激烈的環境中,讓集團拓展業務。他以 AirBnB 為例,對方並未擁有一間客房,但憑著科技支援,讓公司的訂房業務發展得比傳統酒店更大,這毋疑給傳統企業帶來很大的衝擊。「又如共享辦公室概念已不是純粹的租用辦公室,而是為客戶建立一個社區,幫助他們經營業務,這種做法都與華懋關心社會的核心文化很接近。」蔡宏興說所以公司會定期舉辦交流活動,就是需要收集集團員工更多創新的想法。…
不少網絡安全事故統計報告的結果均顯示,員工是為企業網絡安全的一大死穴。雖然安全意識可以培訓,但黑客攻擊手法層出不窮,而且又專挑針對新的科技應用漏洞發動攻擊,所以事實上未必可以完全怪責員工疏忽,再者事後追究亦於事無補,倒不如採取主動防禦措施,借助網絡安全工具阻擋黑客的攻擊。 四大網絡威脅 到底現時企業面對著哪些網絡威脅?借助數碼轉型提升企業競爭力,又會帶來哪些安全漏洞?Edvance Beacon 2019 安全峰會將會向與會者詳細解構企業需要火速解除的網絡威脅,分別是端點防禦、無線熱點管理、上網瀏覽及雲端防火牆,令企業時刻處於安全位置。 端點防禦新概念 傳統防禦採用病毒對比方法,但只能阻擋已知病毒。新一代防禦策略由人工智能進行分析,通過集合全球數據預測黑客的攻擊模式,即使是零時差攻擊(Zero Day Attack)也有機會阻截。 無線熱點管理策略 BYOD(Bring Your Own Device)已成職場趨勢,企業因而需要設立無線網網熱點供員工及客戶使用。要避免黑客或外人盜取機密資料,精密的登入帳戶管理方案最為有效,亦可減省架設無線熱點的成本。 隔離式上網工具 無論是企業管理者或員工,無可避免要連接上互聯網找尋資料,令企業網絡曝露在網絡威脅中。新的隔離式上網(Web Isolation)工具,可將網絡活動遙距在隔離的虛擬空間執行,即使誤入藏有惡意程式的網站,也無法接觸企業網絡。 雲端防火牆應用 分散式工作模式及雲端應用,可讓員工在家中或流動工作,企業既不可能為每個端點安裝防護工具,將所有連接先轉回數據中心防火牆統一處理又費時失事,拖慢工作效率。最直接方法,就是於雲端架設防火牆,無論在任何地方工作,都可保障用家的安全。…
針對企業的網絡攻擊個案與日俱增,無論是供應鏈攻擊(supply chain attack)、BEC 商業電郵詐騙攻擊,抑或是專門針對 DevOps 應用開發嘅攻擊等等,上升幅度都非常之大。作為企業管理者或網絡安全的把關人,要逐個領域去搜尋相關資料,了解解決方案,實在費時失事。Edvance 即將舉辦的「Edvance Beacon 2019」安全峰會,將會透過四大主題演講,讓入場人士一日內快速掌握今年的網絡安全趨勢、了解黑客的最新攻擊方法,同時邀請了多間網絡安全方案供應商,現場示範相關技術及解答入場人士的疑問,而且更有 嘉倩BB 擔任主持,有效率過自己慢慢上網爬文。 四大主題講座 1. 預測攻擊網絡攻擊不單會由外部展開,更多情況是員工的安全意識不足,令黑客有機可乘,盜取機密資料。要提升防禦能力,最有效方法是透過掌握 User and Entity Behavior Analytics(UEBA),了解內部行為如何左右大局,從而預測及杜絕黑客的攻擊,搶先制敵。 2.…
香港仍算是安全的地方?如果你曾細閱香港電腦保安事故協調中心早前發表的 2019 年第一季度保安觀察報告,可能會對當中記錄的安全事件個案大感驚訝,總數量比去年第四季大增接近 4 倍,當中涉及惡意程式的更暴升 786% ,可見黑客的攻擊已不再悄然隱伏,而是波濤萬丈地肆虐橫行。企業在這片怒海上航行,如何才能對抗巨浪,安然駛向目的地? 網絡安全欠架構 黑客攻擊的手法正在不斷演變,針對電腦硬件、軟件以及人為漏洞,進行各種各樣的攻擊。企業由於擁有大量商業機密、客戶資料,自然首當其衝成為攻擊的對象。為了防止黑客入侵,到底應該將資源投放於電郵保安、端點防護,還是加強在員工培訓之上? 羅兵咸永道會計師事務所(PwC)合伙人顏國定認為缺乏明確的 Security Management Framework,管理者便難以從宏觀角度掌握局勢,猶如在暗中夜行,看不清前路。 「香港企業面對的網絡安全問題,並非單一方法可以解決。」羅兵咸永道會計師事務所(PricewaterhouseCoopers, PwC)合伙人顏國定解釋,網絡保安問題環環相扣,如欠缺對整體問題的了解,沒有一個明確的 Security Management Framework,管理者便猶如在暗中夜行,難以看清前路。「很多管理者並不理解網絡安全架構規劃的重要性,以房屋為例,公司內部除了大門外,內裡就沒有其他間隔,讓黑客進入後可以輕易找出有價值的東西。在安全架構的認知這方面,香港企業足足比其他地區的發展落後五年。」 輕視電腦科技人材 主要原因,顏國定認為跟香港長久以來的經濟架構有關,「香港經濟社會以實業為主,缺乏科技主導的行業,以至家長不願子女修讀電腦科技課程或投身相關行業。」社會上長期輕視科技的結果,便導致現時區內嚴重缺乏人材,「要提升企業的網絡系統安全,絕不可單靠網絡安全產品把關,往往需要很強的…
雖然大多數中小企面對新科技總有一份無力感,既無資源又唔熟悉。其實唔使太過擔心,科技絕對唔係洪水猛獸,反而可以幫助中小企業節省成本。以下係 7 個中小企科技大趨勢,管理層一定要睇睇。 1. 善用人工智能減省累贅工作 好多人都將善用 AI 同研發 AI 搞亂,中小企只須謹記,我哋只係要善用 AI。簡單如利用軟件幫你自動追蹤項目進度、提醒隊員開會交功課都可以交俾 AI 處理。再者,現今的 AI Chatbot 已經非常成熟,一般重複又重複嘅客服問題就交俾 AI 罷啦。善用 AI 可以幫助小企業慳返好多時間,集中精力做生意。…
AI 技術已經發展成熟,亦不再是財雄勢大的企業專利。利用 AI 技術,中小企可以提升工作效率,更可以改善業務、提升服務質素,進而增加營業額。坊間已有不少 AI 方案,懂得善用,絕對可以殺出一條血路。今次同大家分享 3 招 AI 基本功,讓你輕鬆搖身一變成為 AI 企業。 第一招:將數據轉化成行動 無論中小企乃至大企業,其中一個命脈必定是 CRM(Customer Relationship Management,客戶關係管理),即是湊客。CRM 透過積累和分析客戶過往的紀錄,增進企業與客戶的關係,將銷售收益最大化及留住客戶,更可以找出潛在客戶以及預測市場及客戶需求。CRM 收集客戶資料的渠道包括公司網站、電話、郵件、線上聊天、市場行銷活動、銷售人員及社交網路等。 過往的…