否認 + 擔憂 + 盲目自信：網絡安全取決於企業態度！

否認 + 擔憂 + 盲目自信：網絡安全取決於企業態度！

提到網絡安全，近年來企業對此的關注程度的確有所提升，然而關注程度與實際行動卻是兩回事！根據《網絡安全之旅——從否認到機遇》(The cyber security journey – from denial to opportunity) 的報告指出，企業在處理確保數碼企業安全的複雜情況時，應警惕各種危險陷阱。通常企業會陷入兩個極端，一是「否認」及「擔憂」，一是「盲目自信」，最終導致「慘痛一課」。

該報告強調，在維護網絡安全開始階段，對於防火牆及病毒防禦軟件等的技術投資是必不可少的「萬全」做法，但企業應避免不加思索就在 IT 安全產品上投放過多的資金。對於那些已經從「否認」階段進入持續「擔憂」階段的企業而言，這個問題尤其重要。因為他們將投資最新技術視為最佳解決方案。這種誤解十分常見，這樣一來企業不僅會成為網絡罪犯的目標，亦會被瘋狂的 IT 產品銷售人員盯上。

企業一定要首先參照最佳實踐，如英國國家網絡安全中心（NCSC）發佈的指引，評估他們目前的控制程度，從而幫助發現任何漏洞及優先考慮投資的重要領域。此外，機構中的所有人（從董事會開始）必須承擔起維持高標準網絡衛生的責任，同時企業亦必須投資培訓去提升員工的網絡安全意識。這有助於將本是安全鏈上最薄弱點的員工轉化為每個企業保護數據的最大資產。

英國電信安全部行政總裁 Mark Hughes 表示：「最近全球範圍內的勒索軟件攻擊顯示出驚人的傳播速度，即使是複雜程度最低的攻擊亦迅速在全球傳播。許多機構本能透過維持較高標準的網絡衛生和做好基礎工作而免遭攻擊。這些全球性事件提醒我們每一個企業，大至跨國企業，小至專營商及中小企業，都需要重視 IT 資產、人員以及流程的安全管理。」

網絡威脅正在持續演化，企業面對著無情的網絡罪犯。已不存在專業術語『銀色子彈』所指的完美解決方案，而是依賴於現今商業邊界日益消失的世界中所有企業的努力。隨著罪犯發現網絡安全薄弱環節的方法層出不窮，未來首席資訊安全官需要重視數碼風險，幫助企業把握機遇，構建網絡彈性。

儘管網絡安全問題在今天的董事會層面日益受到重視，但該報告指出這些討論太少，而且被視為一個單獨及與更廣泛的操作風險脫節的事件。普遍情況下，網絡安全問題並未被納入整體業務策略中。

該報告亦稱，過度複雜的 IT 架構可能會加劇安全漏洞。如果部署的技術難以應用或缺乏整合性，這種情況會更加明顯。
為了解決這些風險並在網絡安全方面取得真正的領先地位，該報告呼籲企業應專注於良好的管理流程，適當整合技術，並考慮將一些不太關鍵的安全領域外判給值得信任的合作夥伴。以上這些，再加上行業夥伴的智能共享、良好實踐以及得之不易的經驗教訓，使企業能夠以不同的方式思考網絡安全。也就是說，網絡安全問題也許不再是董事會每年討論兩次的風險問題，而成為一個商業機會和數碼轉型的推動者。