>

如何確保工作重要資料不遺失外洩?3 大建議定期落實資安教育訓練

企業可以怎麼做來保護內部的重要資料?員工的資安意識肯定不能少!

封面圖/ Photo by The Climate Reality Project on Unsplash

文/ JANDI 特約編輯陳薪智


企業的資訊安全不只是特定部門的責任!員工的工作習慣也是影響企業資安是否暴露於風險環境之下的因素之一。例如傳送檔案的小疏忽,或使用資訊平台的不當行為,都可能導致重要機敏資料外洩,或造成資安事件頻傳。

根據台灣網路資訊中心的資料指出,員工的不當使用習慣是企業資安的最大弱點。

其中有幾項比較典型的「壞」習慣有:

  • 員工使用不同的系統時使用相同密碼,而且傾向公私不分
  • 遠端辦公上班時,員工曾不小心把工作檔案誤傳給親朋好友
  • 員工曾把非工作用的 USB 儲存裝置,插入工作用電腦存取資料
  • 員工曾使用個人的 Email、雲端帳戶來存取或編輯工作相關資料

從上述的情況,可以再區分成幾類風險:

第一種是屬於「安全性」議題

也就是使用的密碼、網路安全的行為需要更為謹慎,例如使用弱密碼或重複密碼、把密碼寫在紙上或存在電子郵件內,這種情境容易讓帳號被盜用,導致資料外洩。另一現象是在公共場所、咖啡廳使用未加密的網路,或是點擊不明連結或附件,可能會觸發網路釣魚攻擊。

現在越來越多系統會要求「雙因子驗證」,也就是使用者輸入密碼之外,還需要提供另一個驗證要素,例如透過手機簡訊、行動裝置應用程式、硬體安全密鑰等方式的驗證,才能登入系統或存取資源。JANDI 也有提供電子信箱以及 OTP 應用程式的雙因子驗證設定,例如用戶要登入 JANDI 系統、更改密碼、使用新裝置登入時,就可以透過雙因子驗證,確保是本人在操作。

第二類風險來自「偷懶」問題

例如沒有定期更新防毒軟體的最新版本,或是在沒有查證之下就安裝具有高風險的軟體。現在越多越多軟體服務商屬於 SaaS 服務,本身就會持續更新版本,修復安全漏洞問題。因此工作專用的軟體,也要定期察看軟體是否有更新項目,確認資訊安全的一些細項。

以 JANDI 為例,目前取得 ISO 27001 國際資訊安全標準認證,以及 CSA STAR 安全性、信任與保證註冊資料庫認證,而且相關準則是需要每隔一端時間要重新認證,JANDI 皆有符合國際合規標準,確保用戶存在 JANDI 雲端資料庫的檔案是受到安全防護的。

 

第三種風險來自「誤傳、誤存」這類不小心作為

例如把公司重要資料用公事以外的通訊平台傳送,後續資料流向就較難掌握。因此建議公司仍要積極宣傳「公私分明」政策,提供相關情境告知成員有關工作資料,都集中在單一平台討論、傳送、編輯。除非是要跟外部廠商溝通的例外情況,盡可能減少跨平台跨系統的轉傳資料。

很多時候一些商業創新概念或是針對新的研發技術在公司內部討論時,相關檔案可能就從上述情況不小心外流,導致危害公司的商譽或商機。要避免這類情況,可以搭配 JANDI 提供兩種工具,第一種是「浮水印」功能,不論是桌機或是手機裝置要下載公司的檔案,檔案內容動會自動印上浮水印,等於提醒使用者這類屬於公司的重要文件,轉傳過程需要特別留心。

第二種工具是「檔案下載限制」,管理者可以設定限制團隊內的成員,依照裝置/權限/IP 設置限制已儲存的文件下載,確保像是財務金流、顧客個資等高度重要機密的文件外流。另外 JANDI 也提供檔案下載紀錄功能,管理員可以檢視團隊中檔案下載的歷史記錄,掌握哪些檔案名稱在哪些日期被下載的歷史記錄。

這邊要強調的是,這些進階服務屬於 ENTERPRISE 版本才具備的功能,因此當企業的人數團隊規模持續成長、使用的檔案數量越來越多,會建議從 PREMIUM 版本升級到 ENTERPRISE 版本,可享有更多功能來確保資料安全。

上述提及的資安防護方法,多屬於防君子不妨小人的手段,因此事前預防比事後追溯還更為重要。那麼該怎麼去強化公司所有成員對資安的認知意識?定期舉辦「資安教育訓練」是解法之一。根據台灣網路資訊中心同一份資料,發現有 44% 的員工回應,過去一年內沒有接受任何資安教育訓練。


資安教育訓練應該具備哪些要素?

  • 明定規範

企業明確制定資安相關的政策和規範,並將相關資訊釘選在佈告欄供成員參考,以及新人報到時也需要接受一定時數的教育,甚至將資安執行率納入為員工績效考核項目之一。

  • 定期演練

演練容易發生資料外洩或容易被駭客攻擊的情境。例如員工離職交接時,應該遵守哪些 SOP 準則;員工出差或外派時,該怎麼使用安全的網路;以及使用公用設備前,要注意那些事項,針對上述實際情境定期做演練說明。

  • 資安宣導

企業的IT或工程部門組成資安社群,讓員工在上班時間到外部接受資安新知訓練,將外部學習的知識帶進給其他部門成員學習。或是也可以透過 JANDI 設計專門的「資安議題」,持續更新各種駭客攻擊事件新聞、資料外洩風險新知,把相關資料整理後,讓各部門主管在月會或重要活動向更多人宣導。

除了上述資安演練,另一重要資安意識要傳達的是,企業要慎選內部使用的通訊、協作平台。例如在 JANDI 所討論的訊息、檔案,都會在上傳後就立刻進行加密處理,即便是團隊管理員、JANDI 團隊擁有者,都「無權」去查看個人的對話內容。

對於企業內部的討論資料保存, JANDI 也提供更彈性的選擇。例如「訊息刪除」功能,當這個功能開啟後,管理者可以設定訊息送出後最少五分鐘、最多七天的間距,一旦超出設定的時間,其他成員就不能刪除自己發出的訊息。因此這個功能好處是成員可以在期限內刪除錯誤的訊息避免產生溝通誤會,保留下來的對話紀錄就會永久儲存在 JANDI 議題,確保資訊不會斷層。從各項示範功能可以看出,JANDI 不斷嘗試在溝通協作的流程及細節,攜手用戶一起保護企業的重要資料。


點擊此連結或上方圖片,即可免費使用 JANDI
You might also like

Comments are closed, but trackbacks and pingbacks are open.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

%d bloggers like this: