觀塘一間做電子零件批發嘅公司,上個月唔見咗成個客戶資料庫。
唔係黑客攻擊,唔係伺服器漏洞。只係一個新入職嘅同事,將公司嘅 Excel 報價單,轉發咗去自己嘅 Gmail「諗住返屋企繼續做」。第二日,競爭對手嘅報價同佢一模一樣,仲平多三個百分點。
老闆到今日都唔知邊度出事。其實,漏洞就喺嗰封「無心」嘅轉寄郵件。這就是為什麼對於中小企來說,資訊保安入門的第一課,不是買防火牆,而是管理「人」。
為什麼「人」是公司最大的安全漏洞?
根據統計,全球超過七成的資料外洩事故與員工的操作有關。在香港,中小企老闆往往為了方便,允許員工用私人電話處理公事,或是在公共 Wi-Fi 下存取公司系統。這些行為在缺乏資訊保安入門意識的情況下,就像是把保險箱的鑰匙掛在大門口。
教你三招「人肉防火牆」入門法
1. 嚴禁「公私不分」:建立個人與公司電郵的邊界
就像開頭提到的案例,很多員工並非惡意洩密,只是圖個方便。
- 執行方法: 強制要求所有公司文件只能儲存在公司的雲端空間(如 Google Workspace 或 Microsoft 365),並關閉「外部轉寄」功能。
- 保安重點: 告訴員工,任何公司檔案離開公司電郵,都存在被截獲的風險。這不是不信任,而是保護公司資產。
2. 開啟兩步驗證(2FA):最後一道防線
如果你還在只用密碼登入,那你根本還沒進入資訊保安入門的門檻。
- 執行方法: 無論是電郵、Facebook 廣告帳戶還是銀行系統,必須開啟「兩步驗證」。即使員工的密碼不小心外流,黑客沒有那組即時跳出的驗證碼,也無法進入系統。
- 老闆叮囑: 這是目前成本最低、效率最高的防禦手段。
3. 「最小權限」原則:唔需要知就唔好知
很多老闆為了方便,給全公司員工「管理員」權限。一旦其中一人的帳戶被盜,全公司的資料就會被清空。
- 執行方法: 根據職位功能分配權限。倉務同事不需要看會計報表,兼職同事不需要存取完整的客戶清單。
- 核心邏輯: 限制存取範圍,就能將洩密風險縮小到最低限度。
資訊保安不一定要花大錢
很多老闆以為做資訊保安入門要買幾十萬的伺服器,其實不然。透過免費或低成本的雲端管理工具,例如 的權限控制,或是 這種密碼管理工具,已經能解決 90% 的基礎風險。
結語:保安是一種文化 不是一種軟體
工具再強,也擋不住一個轉寄 Gmail 的「無心之失」。老闆必須讓員工明白,保護資料就是保護自己的飯碗。建立一套清晰的守則,比起買任何昂貴的防毒軟體都來得有效。
延伸閱讀: 保護了資料後,想提升營運效率?參考《「低代碼」是什麼?中小企老闆必須知道的營商新趨勢》,讓你的業務在安全的情況下飛速增長!
简体中文 
香港中文