創新網路商機下的資安新思維

行動化促使資料遺失風險增加 

過去，中小企業主萬萬不會想到消費性科技商品會在今天成為處理業務時的最前線。以目前社群網路趨勢而言，中小企業逐漸發現它所帶來的競爭優勢，協助企業主找到他們的顧客，更可與客戶或商業夥伴建立更緊密的關係。  

當然，事情總是一體兩面，當社群網路對一些企圖旺盛的中小企業是一項好消息的同時，也代表新危機開始成形；社群網路已使中小企業成為網路罪犯眼中的羔羊，他們期待能夠從中竊取公司重要資訊、企業網路銀行帳號或散播惡意軟體。  

根據National Cyber Security Alliance（NCSA）與賽門鐵克的研究顯示，多達33%的小型企業未具備最基本的防毒保護措施；但當這些企業的作業模式越來越趨向行動化發展，意謂著資料遺失的風險也隨之增加。  

中小企業必須不斷更新安全軟體，並為管理者和員工加強密碼管理，因為任何一個因網路攻擊所造成的當機，都會為中小企業本身和客戶帶來損失。當企業需要隨時與網路保持連結以維持競爭力時，中小企業則必須確保有完善的企業資訊安全保護措施。  

讓企業資訊安全無虞的建議作為 

但中小企業又該如何在網路時代的商業模式下保護企業資訊？我們可以提供幾個注意重點和建議作法，以確保企業的資訊安全無慮。  

1.瞭解資訊的存在位置
中小企業目前面臨最大的挑戰之一是，保持資訊需求的平衡以達到隨時隨地可以透過不同的終端裝置滿足公司內用戶的使用需求，並加以妥善保護。  

為求達到這個目的，首先要做到的是評估各種可能的風險；企業要不停地自問，機密資料存放在哪裡，以及它們是如何被使用的？更重要的是，如何避免資料外洩？  

2.建立安全意識計畫
中小企業每年經常因員工使用網路不當，導致IT人員有處理不完的資訊安全威脅；而隨著社群網路使用量大幅增加的情況下，則讓這個問題面臨更多挑戰。  

因此，為求確保資訊安全，中小企業需要建立公司的網際網路使用政策，例如：  

‧界定員工在工作環境中可使用和如何使用新的科技和網站。
‧宣導不慎使用網路與社群網路可能造成的風險，以及被駭客攻擊的可能後果。
‧建立一個清楚明瞭的「網路使用政策」，讓員工了解在工作中可以使用的網站和應用程式、在任何裝置和機密網站上設定高強度密碼，並須警告員工讀取來路不明的郵件時，不可開啟可疑附件和連結。同時，企業也須針對這類政策進行定期檢視和更新，並隨著需求施以適當的技術方案加強其效用。  

3.行動裝置管理
當中小企業提供員工使用行動裝置時，應針對這些裝置建立最佳安全解決方案，確保資訊受到保護，讓主管和客戶在存取機密資訊時都感到安心，而毋須擔心資料可能外流至其他不明人士手中。  

同時鼓勵員工對個人資訊安全應保持高度警戒，如手持裝置不可隨便離手等。隨著Wi-Fi的覆蓋範圍越來越大，人們幾乎可在任何地點連上網際網路，因此當員工從遠端連線至公司伺服器，或在外使用公司的筆記型電腦上網時，務必使用設有密碼加密保護功能的安全無線連線。而這些注意事項都須納入公司的「網路使用政策」。  

4.投資IT
有些公司行號認為使用免費防毒軟體足以保護他們的資訊，但事實上這些防護並不足夠，也無法保護員工免於駭客攻擊或網路詐騙。現今駭客透過高流量的合法網站，直接攻擊使用者，讓大量的使用者遭受感染。為了對付越來越多複雜和具組織性的駭客攻擊行為，企業需要更多層級的安全防護，以全方位保護資訊安全。  

中小企業應確保在有限的預算下，其購買的安全解決方案能夠滿足其需求。中小企業應選擇容易使用、有端點保護的安全方案組合，而且可在有限預算的條件下同時具備防禦惡意軟體、垃圾郵件、資料外洩與系統停擺的功能，可確保在任何裝置都可擊退各種已知和未知的威脅。  

此解決方案亦須具備快速、可靠的備份與復原技術，使企業可以簡單地復原資料與防禦新威脅。  

5.雇用一個可信賴的顧問
中小企業在時間、預算與員工數量方面都很有限，因此更需要一個可協助擬定計畫、部署自動保護方案，以及能監控趨勢和威脅的解決方案供應商。一個可信賴的顧問可協助企業主教育員工如何在需要時透過備份挽回資料，並能建議保護重要資料所需的外部儲存設備計畫。

對小型企業而言，在截然不同的社群網路世代裡，保護資訊應是首要任務，這意味著企業應確保擁有對的政策，並須具備擁有進階威脅防護功能的防毒軟體，以及正確的備份計畫，方可應付緊急狀況。