所有會使用網絡的企業都會面臨一系列網絡風險,尤其是資料外洩風險。資料外洩是公眾特別關注的其中一種漏洞,特別是近期發生多宗備受矚目的資料外洩事件,如2018年9月發生涉及Facebook的資料外洩。雖然我們無法消除資料外洩等網絡風險,但企業可透過多種措施管理及減低風險。
減低風險
管理資料外洩等網絡風險與其他風險一樣,最佳方法是盡可能減低風險及減低風險帶來的損失。減低風險可避免企業及其客戶的資料外洩,而減低風險帶來的損失則可保障企業免受資料外洩的後果。
減低風險帶來的損失的最佳方法是購買網絡責任保險。採用最配合公司業務及資料類型的保安措施是減低風險的最佳方式,可惜目前並沒有適合所有機構的全球標準或解決方案。
無論選擇哪一種保安措施,持續監控及更新保安產品及服務都非常重要。企業確實執行基本網絡安全措施,包括良好的密碼設定及加密相關資料等。這樣雖然不足以建立萬無一失的系統以消除資料外洩風險,但可將風險大幅減少。
應對資料外洩的措施
良好的資料外洩風險管理策略不僅具備防止資料外洩的措施及程序,亦應包括外洩事件發生時應遵循的指引。有關指引應指明是否需聘請資訊科技、公關、法律等專業人士,並應涵蓋下列項目:
- 控制外洩及限制損失, 包括關閉並防止進一步入侵系統
- 評估與外洩相關的風險及影響, 包括對業務的影響(例如外洩的資料會否影響其他業務流程或與第三方的關係),以及對企業的客戶的影響(例如受影響的人數及外洩資料的性質)
- 匯報外洩, 包括需要通知的人士、通知的時間及方式,以及需要匯報的資訊
- 處理外洩, 包括修復遺失資料及重啟受影響系統
- 評估應對措施的成效並防範日後再發生同類事件, 包括以下事項:釐定外洩是犯罪行為、人為失誤或程序不完善所致;評估應對外洩時出現的任何營運、政策、資源、僱員或管理等問題;及修正導致外洩的程序或行為
總結
管理資料外洩等網絡風險時,須採取針對以下各方面的整合措施:
- 防範攻擊
- 減低風險帶來的損失
- 在防範措施失效時如何應對事故
觀看網上研討會瞭解網絡世界:風險面面觀,了解更多有關機構提升網絡防禦的祕訣,並深入了解網絡趨勢。