網絡上教學如何讓初創公司活命的提議多如天上繁星,但談及建立堅固的網絡保安系統卻很少,然而,欠缺清楚明白1當中的威脅,可能會為潛在的成功生意帶來損失,以下就列出一些常見的網絡保安錯誤,並附有預防的方法。
麻煩的來源
這是很典型的初創公司故事,你和你的朋友想出很好的概念,然後與一班志同道合以及狂熱份子,大家熟識的Azxac Uber、 Pinterest和Twitter等公司,不過,當初創公司開始擴展聘請額外員工時,問題可能便會浮出水面,儘管作為公司團隊一份子,但新聘請的員工都有不同的行事模式和過往經驗,因此各人對甚麼資料應該視之為機密,如果保護資料安全的理解有明顯出入。
常犯的網絡安全錯誤
過多存取權限
初創公司的員工很多時都需要存取公司資源或服務,但有些人認為「方便」而分享管理員權限,並沒有視符工作需要和職責而分享,越多人擁有存取權限,犯錯的機會便會越多,如果想網絡安全事故發生機率降至最低,便應該因應工作需要而設定存取權限。
欠缺資料儲存系統規則
一般而言,這個問題並非初創公司獨有,對任何機構而言都並非好事。但是在初創公司,由於上述的錯誤,加上員工離職,總有一天會發生重要檔案失蹤的情況,它應該存在於某處,但實際位置無人得知。
忘記密碼
另一個常見問題是公司社交網絡或其他很少使用的服務,帳號密碼被忘記,可能一位新員工設定Facebook或LinkedIn帳號,以協助推廣業務,但忘記了與其他相關同事分享帳號資料,他日當這位員工離職,帳號的登入資料也隨他/她而去。
分享密碼
也有一些人因為離職率高的關係,以為分享帳號使用是一個好主意,但越多人知道密碼,因為網絡釣魚、有意或無意的外洩的機會便會越高,而且一旦發生事故,調查的難度也會大大增加,因為所有人都擁有存取權限。
密碼放在雲端服務上
另一個密碼相關的錯誤是把他們儲存在Google Docs的檔案內,再加上錯誤的設定,可能該任何人擁有連結都能夠存取檔案,這雖然對所有需要有關資料的員工而言是十分方便,但Google文件可以通過搜索引擎搜尋,這意味著密碼可能落入其他人手上。
欠缺雙重認證
有些問題如果初創公司對工作帳號使用雙重認證,危險情況可能比較小,這既能防止重要資料被不同方法盜竊,其中一種便是網絡釣魚,至少把雙重認證設定在財務相關的帳號上。
綜合預防網絡威脅貼士
避免「典型」的錯誤,小型企業或初創公司不妨依照以下貼士:
- 當涉及存取資源或服務,不妨採取「最少特權」方針,員工擁有最低限度的存取權限,足以他們應付工作需要。
- 清楚知道自己公司重要資料的儲存位置,誰人能夠存取,以此為基礎在招聘新員工時設定指引,包括清晰分辨哪些帳號是每個員工都需要,而哪些帳號只有特殊職位才需要。
- 成熟的網絡安全文化有助預防很多網絡威脅,大家能夠從為員工製作網絡安全手冊開始,令所有員工都以相同的機準去判斷。
- 所有密碼必需儲存在一個安全的密碼管理工具內,它有助員工不會忘記或丟失密碼,同時也降低機會被公司外部人士取得帳號的存取,並且盡可能使用隻重密碼。
- 建議員工當他們離開桌子時鎖定他們的電腦,因為公司有時會有不同的訪客,例如速遞員、客戶、承建商或求職者。
- 考慮安裝可靠的保護方案,對抗病毒、木馬程式和其他惡意程式。
資料來源:Kaspersky Blog