为免着凉病倒,你会多穿一件外套保暖;同样道理,企业「辨识」了电脑网络的风险之后,下一步就要好好「保护」网络,减低发生事故的风险。

以勒索软件为例,一旦「中招」,电脑档案甚至整部电脑都会被加密,并遭黑客勒索交「赎金」,瘫痪公司的运作。

上星期本栏提到,根据美国NIST CSF 资讯保安框架,在制订资讯保安策略时,首要是「辨识」(Identify)机构面对的网络保安风险,并釐订风险管理的优先次序。「辨识」是CSF框架的基石,而「保护」(Protect)就在这基石之上,为机构提供最佳的数据保护和整体保安方式,以减低出现资讯保安事故的机会,确保核心运作不受影响。

知易行难,要保护机构的网络并不容易。要方便运作,可能导致网络保护出现漏洞;但处处限制资讯分享,则影响工作效率。所以,机构必须衡量对外连接网络的利弊风险,採取适当的存取控制(Access Control)措施,避免系统、数据及资料在未经授权下被存取或修改。

保护措施再完善,只要任何一位人员稍一松懈,黑客便有机会乘虚而入。机构应透过定期的培训(Training),提升人员的网络保安意识,确保网络保护政策得以顺利执行。

当机构上下都具备了网络保安意识,企业便可展开数据保安(Data Security)工作,管理方针应与其商业风险策略一致,并制定完善的网络保安政策和处理程序(Procedures),例如:事故协调、无间业务、灾后恢復等计划,以保护重要资料。

为确保「保护网」完好无缺,必须定期进行系统及数据维护(Maintenance),并採用适当的保护技术(Protective Technology)方案来保护数据。

当网络得到妥善的保护后,机构便需採取方法「侦测」(Detect)网络事故,本栏下星期再谈。