國際信息系統審計協會(ISACA) 連續第三年的「辦公室購物:網上購物與辦公室電腦保安」調查發現,超過50%香港信息科技專業人士及經理認為本地僱員於今年的假期季節期間會較去年花更多時間使用辦公室電腦進行網上購物。但公司普遍欠缺預防來自這方面的資訊安全風險意識。
今次接受調查的信息科技專才全為ISACA會員。調查結果顯示在香港使用辦公室電腦進行網上購物的僱員數目有顯著上升,約有53%受訪對象認為他們公司的僱員將於今年假期較去年花更多時間於網上購物,而另外40%受訪對象則認為他們公司的僱員今年網上購物所花的時間會與去年相若。
香港信息科技專業人士預料,公司僱員工作時進行網上購物較亞洲其餘地區僱員所花時間為多。
當被問及他們預料僱員使用辦公室電腦進行網上購物所花的時間,逾60%受訪對象都認為僱員於今個假期會花三個小時或更多時間進行上網購物;只有大概30%的受訪者認為今年十一月至十二月間,公司僱員會花上一至二小時利用辦公室電腦或其他工作設備進行網上購物。此數據顯示香港的結果明顯較亞洲區整體為高──41%的亞洲受訪者預期公司僱員只會花一至二小時於工作期間進行網上購物。
香港信息科技部門於今個假期都容許僱員有較大自由度使用辦公室電腦進行網上購物,與此同時他們亦以較精密的保安措施加以防備。相對去年的16%,今年只有13%的信息科技部門打算禁止其公司僱員使用辦公室電腦進行網上購物。
不過,有29%的受訪者表明他們會限制僱員使用若干網站以減低所涉及的保安風險。信息科技專才對提升僱員網上購物活動的保安水平,一般都趨向採取較寬容的態度。近64%受訪對象表示今年他們在保安政策上向僱員提供培訓,而去年則僅有39%。此外,另有64%表示他們應用了相關的技術以防範來自網上襲擊,相對去年的55%有上升趨勢。
ISACA中國香港分會會長翁偉基表示,僱員進行網上購物不但會降低生產力,更會招致社交工程陷阱、仿冒詐騙、惡意軟件及違規信息等風險,以致公司得為修正每名員工的過錯而花費數千元、為損害企業的數據賠上百萬元、甚至令到公司聲譽嚴重受損。
另外,受訪的香港信息科技經理當中,只有33%稱禁止僱員使用辦公室電腦登入社交網站,相比亞洲平均的37%較為低。雖然如此,今年聲稱禁止僱員使用社交網站的信息科技經理數目較去年上升6%,反映香港信息科技經理將會加強監管於辦公室的社交網站使用。
員工在公司網上購物可令公司於每名員工身上損失近7,800港元
調查亦顯示,約50%的受訪者估計,機構因員工於十一月至十二月期間在辦公時間內進行網上購物,每名員工可損失達7,800港元的生產力。同時22%的受訪者更表示,按每名員工計算,他們的損失的生產力將介乎7,800港元至 39,000港元。
以行業標準制定規管模式全面推行策略
具備CISA, CISM, CISSP認證,身兼羅兵咸永道會計師事務所首長及ISACA 流動設備保安項目主管的Mark Lobel說:「隨著筆記型電腦及流動通訊設備在工作場所的應用日益上升,機構亦需定下合乎實際需要的保安政策,以便員工可於隨時隨地使用之餘,同時亦保障公司的知識產權。為能於生產力及保安之間取得平衡,機構必須保持包容態度並積極教育員工。」
有關管理辦公時上網行為風險的詳情,請瀏覽www.isaca.org/online-shopping-risks。
ISACA就員工使用公司電腦或流動設備網上安全購物,提供以下提示:
員工/ 網上購物者方面:
切忌開啟陌生寄件人或看似不真實的電郵或網上連結
小心處理筆記型電腦、平板電腦或智能手機內存的公司資料(例如:在流動通訊設備上裝上保護屏幕)
以密碼保護流動通訊設備及記憶卡上的資料
定期更新流動通訊設備上的安全工具及程式。如有任何不清楚之處,請向信息科技部門查問
信息科技部門方面:
與人力資源部門緊密合作,採取包容及教育政策,提高員工對信息安全政策的認知
就設備資料加密
採用安全瀏覽技術
利用行業一向沿用的守則及管理架構如商業信息安全模型(BMIS)
【編輯觀點】:港人工作繁忙,不難理解欲透過網站購物方便自己,但若因而忽略資訊安全,那絕對是不應發生的情況。企業既知悉這方面的情況,在平衡員工的需要和公司利益的情況下,應制訂適當的政策作預防。