Browsing: 在家工作

    公司被黑客入侵,好多時都因為員工疏忽,錯誤開啟了電郵內的惡意連結或附件,不過在怪責他們的同時,企業管理者有否反思公司提供的網絡安全訓練是否足夠?內容能否吸引同事細心閱讀?記著以下 5 個要點,才可令同事在培訓課程時專心及上心。 有調查顯示,企業被入侵的原因九成出於員工誤開釣魚電郵,而且隨著疫情下在家工作 (Work From Home) 變得普及,員工在公司以外環境下工作,防禦力自然更薄弱,因此有必要提高員工的網絡安全意識,於源頭阻截惡意攻擊。不過,有企業管理者會懷疑,明明公司已提供各種網絡安全培訓,為什麼員工就是無法上心?歸根究底,問題可能出在培訓課程之上。不妨留意以下幾點,重新審視安全培訓課程內容,才能讓課程變得有效率及有意義。 1. 內容要專 一個優質的課程,內容必須夠專及到位,必須因應行業特性安排培訓內容,而不是隨便拿取網上的網絡安全培訓樣本使用,以金融業為例,同事可能須更注意各種合規要求,貿易公司則可能面對較多商業詐騙電郵 (BEC) 攻擊,不能一概而論。 2. 真實事例 在準備培訓內容時,必須加入真實事例講解,以釣魚攻擊為例,如只告訴員工釣魚攻擊可令電腦中毒,員工未必意會到有多嚴重。應該清楚舉例說明黑客的攻擊手段,例如會引誘員工開啟惡意附件,或預先架設一個虛假網站套取帳戶登入資料,員工才會理解如何防範。 3. 簡潔說明 這點不難理解,培訓課程的時間不應太長,解說亦要簡潔到位,員工才不會因說明時間太長而失去集中力。如果能夠加入有趣的例子或互動元素,自然更容易上心。 4. 高透明度 公司引入各種網絡安全守則及工具,雖然出發點是為了公司及員工著想,但始終會引來員工疑慮,擔心公司會以安全為名,實則加強監控工作。因此企業管理者必須詳細解釋安全守則及工具的內容及會收集到哪些資料,讓員工清楚理解不會侵犯其私隱,員工才會樂於按照安全指引辦事。 5. 因人而異 每個同事對網絡安全的認知不一,因此培訓內容也要作出調校,企業管理者可安排員工接受安全測試,因應其安全意識分成不同的小組並提供合適的課程內容,這做法不單可找出高風險員工優先培訓,更不會因課程內容太深或太淺,令員工失去專注力。…

    十七年前沙士肆虐期間,由於頻寬限制和技術落後,在家工作無法實行。當年的辦公室環境均是以桌面為主,距離大眾化的智能手機和平板電腦至少還有五年之遙。如今的情況已經改變。我們有數十種連接網絡的方式,遠程辦公很常見,流動工作已能實現,網絡頻寬充足,網絡安全亦應用了人工智能及其他先進技術。 雖然香港的新冠疫情轉好,但出於不同的原因,允許員工居家辦公長遠來說似乎是一趨勢。這旨在維持業務,同時保障員工的健康和安全。同時,企業要確保對IT基礎架構都有同樣謹慎的態度,並嘗試避免折衷方法。 許多機構都有部分員工需要在辦公室環境外工作,這些流動員工在規範的環境使用授權的設備和應用程式連接公司網絡。僱主以嚴格的自帶設備(Bring Your Own Device,BYOD)準則和政策,監督以個人設備存取辦公室內部網絡和系統的員工。這些政策要求每個自帶設備,如智能手機、平板電腦、手提電腦等,都必須先獲IT部門的授權,才能連接到公司網絡。 但允許員工在家辦公以維持業務之際,也引發了嚴重的網絡安全懚憂。Palo Alto Networks的《亞太區網絡安全狀況》調查印證了這一點:近半(47%)的受訪者表示,最大的網絡安全挑戰是員工缺乏網絡安全意識。 企業的網絡安全旨在保護IT基礎結構,但除非有特殊情況,否則這些安全設備僅限於工作場所。試想像,員工在家中工作的連接設備可能與其家人共用。這等於增加僱員的網絡安全風險,僱主亦面臨風險。 要讓員工免受網絡攻擊,需要投入時間、資源和設備。如果僱主和僱員未能保持與平常工作場所一致的保安和慣例,為求維持業務的整個理念就會瓦解。 以下是一些居家辦公的保安技巧建議: 設備 – 僅允許授權的設備存取公司網絡以執行業務。教育 – 定期向員工強調在家工作期間必須維持一貫的網絡安全紀律。企業可以準備網絡安全教材,供員工與家人分享,以鼓勵和灌輸網絡安全意識。培訓 – 無論員工在任何地方連接網絡,企業都必須提供最新培訓並測試員工有關網絡安全的知識。如果這些測試能顧及在家工作並說明需防備的陷阱則更好。防火牆 –…