企業Q&A
問:在這個電子資訊年代,許多中小企業的日常運作也離不開電子資訊的收集、提供和交流。但是很多中小企業並沒有很完善的電腦及網絡安全方面的支持,在這種情況下如何有效地降低電子資訊流失的風險呢?
資訊未必越多越好
答:首先,對電子資訊的收集應該謹慎,減少不必要的資料搜集和保存。有些人認爲應該盡量獲取和保存資訊,就算一時用不上也不會有壞處。但很多時候,資訊未必越多越好。相反地,搜集太多資訊不但可能令用戶反感,一旦丟失還可能對資訊獲得者造成不必要的麻煩,甚至觸犯法律(如新加坡個人資料保護法規)。例如,對用戶的信用卡信息的保存就應十分謹慎。
中小企業可以考慮把付費系統交給第三方(例如Paypal)管理,這樣就可避免收集和保存這些較敏感的個人資料。
給電子資訊加密處理
其次,對于有用的電子資訊要盡量進行加密處理。在我們使用、保存,以及交流資訊的過程中,難免會遇到暴露資訊給外界的可能。有時這些可能性是預想不到的,例如移動設備的丟失、電腦病毒入侵,甚至是寫電子郵件時寫錯收信人的郵箱地址。如果我們對電子資訊進行了加密處理,就算遇到這樣的不幸情況,我們的信息仍不會對外暴露。當然,在加密過程中要盡量使用國際通用的安全協議(例如AES),並妥善保存密碼。
盡量降低被攻擊風險
最後,在網絡建設上要遵循最小化被攻擊的原則。這個對中小企業尤其重要,因爲很多時候中小企業建設網絡時,會更多的考慮使用上的方便而忽視了潛在安全風險。
減少被攻擊的其中一個最有效方法是,除非必要,不把電腦和存有電子資訊的設備上線,甚至不讓它們和其他上線的電腦連接在一起。例如我們有一台電腦保存了2010年以前的交易記錄,而公司日常的工作並不需要時時調用這些記錄。在這種情況下,可考慮把這台電腦和網絡完全分開,有需要時才從這台電腦取信息。這樣就算公司網絡受到攻擊甚至被黑客成功入侵時,可以確保數據仍然保持安全。
以上是幾個有效的降低資訊流失的方法。在這個依賴資訊的年代,中小企業要時刻提高警惕,保護資訊。
(作者爲新加坡管理大學信息系統學院副教授)