【中小企之苦】四成小型企業無專責IT員工 專家:應視網絡安全為可靠投資
疫情下大大改變香港企業營運模式,有調查指六成企業在疫情期間,意識到加強網絡安全的重要性,並將於來年增加開支預算應對網絡威脅。惟不少中小企礙於財政預算所限及人手短缺,以致在制定網絡安全策略上困難重重,甚至有四成小型企業無專責資訊科技安全的員工。有專家建議中小企應改變固有概念,將網絡安全視為業務投資的重要一環。
全球網絡安全領導企業Palo Alto Networks訪問了 300 名本地企業 IT 決策者,進行《香港企業網絡安全調查》,受訪者平均來自本地小型(50 人以下)、中型(50 至 100 人)、以及大型企業(100 人以上),發現疫情下企業管理層對網絡安全日趨重視,有 56% 企業管理層表示比以往更關注網絡安全,62% 的受訪者將網絡安全視為董事會討論的首要議程項目之一,高達 38% 的受訪者更會每月在董事會會議中討論網絡安全問題。
相對之下,大型企業較常成為黑客目標,調查顯示有 43% 大型企業指出破壞性網絡攻擊按年增加兩成,小型及中型企業分別只有 24% 及 37%。Palo Alto Networks 香港及澳門地區總經理馮志剛解釋,是由於網絡威脅日益增長,加上黑客傾向向大型企業「埋手」,惟結果也顯示有為數不少的小型企業同樣遭受攻擊。事實上,有 35% 的小型企業亦表示對公司的網絡安全措施缺乏信心。
小型企業制定網絡安全策略遇困難
對於來年投放在網絡安全的開支預算,有 40% 受訪者表示會投放更多資源,然而僅 29% 的小型企業管理層計劃提高,而且超過 40% 的小型企業沒有專責資訊科技安全的員工,比例遠較中型公司(11%)及大型機構(5%)高。馮指出,中小企業礙於營運方面的限制,通常以業務收益和生產力作為優先考慮條件,但現時應改變固有想法,「應該將網絡安全視為一項保障業務安全、維持營運及盈利能力的可靠投資」。馮又指業界亦有供應商提供由小型企業共享的網絡防禦架構,可以分擔及減輕成本。
報告又顯示,企業視雲端安全、端點保護及身份和訪問管理為優先考慮的業務安全策略,惟對雲端安全更有效的安全存取服務邊緣(SASE) 和零信任安全框架,只得 24% 及 14% 的企業採用。馮建議企業應根據業務考慮網絡防禦架構的排序,在網絡安全防禦上不應「頭痛醫頭、腳痛醫腳」,應該以「從不信任,不斷驗證」的原則,採用零信任安全框架、進行網絡安全評估,並且選擇良好的網絡安全合作夥伴而非產品,以取得最新威脅情報。