善用資訊保安免招損失 -- 2009-02-05
金融海嘯去年席捲全球,金管局任總近日在公布外滙基金去年度的成績表時,提醒大家金融業危機有愈演愈烈的迹象,第二波金融海嘯即將來臨口,且傳染性更較第一波金融海嘯還要厲害。
企業要度過這難關,得出盡辦法開源節流,保住現有客戶並爭取新客源,甚至轉型。許多投資項目即時腰斬,往往被人冠以「只會花錢、不會賺錢」的IT部門當然首當其衝,更何況驟僅具「保險」意義的資訊安全管理之相關投資呢?不是凍結預算,就是削減開支。即使市道暢旺時,就已經有不少公司忽略了資訊安全,到了這百年一遇的非常時期,它的優先次序更自然會被排到更低、更低。
經濟逆境添變數
其實,在財政壓力下,資訊安全更顯重要,如何在資源有限的困難下,妥善處理考工夫,大刀闊斧一刀切只會弄巧反拙,不單止省不了成本,反過來招致更多意料之外的非經常性開支,損失更多。此外,於環境異常困難,有人會挺而走險盜取市場情報,以圖絕境求生,因此,精簡了人手的IT部門反而更不要鬆懈,加強保安措施。
假如公司逼不得已要走到裁員一步,就須注意前文提及的,要謹慎處理離職員工的帳戶,屬於公司的個人相關設備要即時一併歸還,做足一切離職步驟,避免被裁員工因一肚怨氣而竊取機密資料,提供予競爭對手。至於留下來的員工又如何?企業既要精簡架構,但又要保持競爭力,就要維持生產或提供服務的質與量。
其中一個方法就是讓員工進行崗位轉換( Job Rotation ),讓員工多認識不同崗位的工作步驟及汲取不同經驗。是否能有多於一位同事熟習伺服器的管理及運作?遇到網絡故障時是否能夠即時解決修理障礙?遇到入侵事故要如何處理?若公司內的員工訓練有素,使多於一位員工擁有同類經驗,萬一有員工放假或離職等情形,對公司的運作就不會有太大的影響。
整合部門提升效率
若公司架構臃腫的話,其中一個精簡架構的方法就是把運作部門( Operation )與資訊科技部( IT )合併,以求在多方面爭取協同效應。有些部門表面看上去好像有點風馬牛不相及,但卻有不少地方可以互相合作去發揮最大效用,產生「一加一等方三」效果。
物理保安的部門可以與資訊保安的部門結合或合作,互相補足。舉例來說,安全指引雖列明員工不應把電腦帳戶的用戶名稱和密碼寫在提示紙隨意放在桌上,但仍然有不少同事貪方便沒有按指引辦事而引人犯罪,資訊保安部門可透過與物理保安部合作,由每天都會巡查各樓層辦公室的保安員兼任此檢查工作,便能節省資訊保安員工的時間。
若公司有使用無線網絡,物理保安員更可進一步帶備檢查的儀器,定期檢查附近有否竊聽工具正在運作,特別在夜深人靜的時候。同時,資訊保安部的員工大可利用專業知識和經驗,協助物理保安部自行開發或為坊間的產品進行評估自動偵測異常出現的人或物,甚至能夠提供進階分析等。
部門之間衷誠合作所產生出來的安全效果,絕對比各自為政好。在資源緊縮的時期,就更要團結合作,公司上下一心,才能共渡時艱。
Source : 信報