小型企業的安全電子郵件指南

駭客主要是透過電子郵件竊取公司敏感性資料和資訊,這點對大多數企業經營者來說可能不足為奇。但值得注意的是,小型企業特別容易受到攻擊。具體而言,針對員工人數為 250 人以下公司所發動的整體網路攻擊次數,在去年的前六個月增加為以往的兩倍,而每次攻擊的損失平均超過 $188,000 美元。根據戰略暨國際研究中心 (Center for Strategic and International Studies) 的研究,網路攻擊對美國整體經濟所造成的影響高達每年 $1000 億美元。

這正是 2014 年大型 Sony 電子郵件遭駭事件如此重要的其中一個原因。這起事件讓所有企業省思如何避免發生同樣的災難。如果連設有多重安全性機制的大公司都會被駭客入侵,那麼資源有限的小型企業豈不是毫無招架之力?

先別灰心。事實上,有很多方式可以確保企業擁有安全電子郵件的保護。由於企業的安全性取決於最弱的一環,因此有效提升安全性的方法就是讓員工親身參與並積極投入。以下提供七個基本祕訣:

  1. 將建立和導入網路安全性計劃列為第一要務。 當然,您不僅要思考如何確保電子郵件服務的安全性,還要想想哪些策略可確保您的網站、付款資訊和其他資訊安全無虞。不過,處理電子郵件的安全性問題仍是計劃中的主要環節。美國聯邦傳播委員會製作了 Small Biz Cyber Planner 2.0 這項實用的工具,協助您制訂專屬計劃。
  2. 考慮採用電子郵件加密。採用電子郵件加密後,只有特定使用者能夠存取及讀取貴公司的電子郵件,避免駭客竊取個人資訊。電子郵件加密的方法有很多種,您可以根據所需的安全性等級和便利性選用合適的方法。例如,您可以下載或購買額外的軟體,外掛於您目前的電子郵件用戶端。或者,您也可以安裝 PGP (優良保密協定) 等電子郵件憑證應用程式,讓員工能夠與任何電子郵件寄件者共用公開金鑰,並且使用私密金鑰將收到的任何電子郵件解密。另外,還有一個簡單的解決方案,就是使用協力廠商加密電子郵件服務
  1. 確保密碼安全。 理論上,所有員工的公司電腦和電子郵件系統都應設有各自的密碼。這些密碼應每三個月重設一次;此外,當員工變更密碼時,請務必採用多重要素驗證。強度最高的密碼應包含至少 12 個字元,並採用數字、符號、小寫字母和大寫字母的組合。密碼不能太好猜 (例如使用生日、小孩的名字等內容做為密碼),但應該要好記。換句話說,員工應避免使用兩組最常用但最差的密碼:“password” 和 “123456”。這兩組密碼也是 2014 年最多人使用的密碼。 此外,員工不應在多個帳戶或網站中使用同一組密碼。考慮讓員工使用密碼管理員或單一登入功能。對於想尋找工具來集中存放密碼、銀行帳戶、電子郵件帳戶、PIN 碼和其他帳戶資訊的小型企業而言,CommonKeyLastPass 提供了一些優質的解決方案。如何知道您的密碼是否遭到盜用?可以註冊 PwnedList 或 Breach Alarm 等看門狗服務。這類服務會監控密碼是否已外洩,並且會在任何電子郵件地址出現安全性漏洞時自動回報。
  2. 設定有意義的電子郵件保留原則。 請要求員工清除與工作無關的電子郵件,並導入原則以確保合規性。許多公司制訂了 60 到 90 天的標準,只要過了設定的期間,系統就會執行自動封存及永久移除的步驟。對某些員工來說,記得刪除不符合這項標準的電子郵件並不容易,因此經常提醒他們有其必要性。
  3. 訓練員工注重電子郵件安全性。 員工在確保電子郵件資料安全方面扮演至關重要的角色。公司應該要訓練員工,讓他們知道應該要避免哪些行為和電子郵件類型。不過,根據 InfoSight 的調查,近半數的公司將不到公司安全性預算 1% 的費用投入在訓練員工如何注意安全性威脅的計劃上,卻有 64% 的組織曾因電腦漏洞而有程度不同的財務損失,此外,有 85% 的組織曾在公司中偵測到電腦病毒。訓練的成本不高,但可有效降低因駭客入侵而損失龐大成本的風險,何樂而不為?

    具體而言,公司應訓練員工遵守下列規定:

    • 不要開啟來自不明人士的連結或附件。
    • 無論信件來源看起來有多正式,一律不回覆要求密碼變更和提供個人資訊的電子郵件。
    • 務必更新電腦上的防毒和防間諜軟體。
    • 寄出任何含有敏感性資料的電子郵件前先進行加密。
    • 不要使用公司電子郵件地址收發個人電子郵件。
    • 不要將公司電子郵件自動轉寄給協力廠商電子郵件系統。

    此外,有些公司制訂了安全性計劃,安排網路釣魚活動、魚叉式網路釣魚電子郵件和其他網路安全性威脅來測試公司員工,並在員工通過測試後給予獎勵。結果發現這些計畫成功提升了安全性。

  4. 對公司相關的行動裝置使用情況維持嚴格標準。 使用公司核發的行動裝置或個人行動裝置收發公司電子郵件時,員工必須將資料加密、妥善保護裝置密碼,並安裝經過核准的安全性 App,這樣駭客就無法透過共用 WiFi 網路存取裝置。尋找內建行動裝置管理功能的解決方案,該方案能提供選項,透過條件式存取、裝置管理和選擇性抹除公司資料來協助您保護資料安全。
  5. 確保電子郵件安全時應該要避免的常犯錯誤。 除了上述問題之外,還有其他因素會降低電子郵件的安全性,因此請將下列建議納入考量:
    • 所有電腦 (而不只是部分電腦) 都應使用電子郵件加密。如果每個人採用的標準不一致,電子郵件加密就沒有意義。
    • 離開電腦前一律鎖定電腦。制定公司原則,要求員工在離開座位前鎖定電腦 (登入時應輸入密碼)。只要在建立原則時將公司電子郵件納入考量,就能防止許多問題的發生。當您在發展資訊安全環境時,不妨要求員工提供協助,並在事後給予獎勵,這樣才能逐一確保每封電子郵件中的員工、客戶和企業資料安全無虞。

開始使用 Microsoft 365

以您熟悉的 Office 搭配有助於共同作業的各式工具,讓您能隨時隨地完成更多工作。

立即購買
相關內容
Business Tech

當公司未正確保護智慧財產時會有什麼後果

深入閱讀
Business Tech

客戶資料 – 劃清實用創新與侵犯隱私權之間的界線

深入閱讀
Business Tech

對抗駭客入侵手機並提高裝置安全性的 6 個方式

深入閱讀

商業見解與構想不會構成專業的稅務或財務建議。您應該連絡您的稅務或財務專家以討論您的情況。