在宅工作?疫情下您不可忽視的資料外洩風險意識

          世界衛生組織WHO於2020年3月宣告Covid-19全球疫情大爆發,迄今即將屆滿1年,全球企業組織無不被疫情推著快速轉型至分散式工作模式,在宅工作已成“新型態的一般工作類型”,這同時帶來的重大轉變使企業員工將工作中的機敏資料頻繁的使用與移動至非企業環境情境,伴隨而來的資料外洩風險絕對不可輕易忽視!

疫情後企業雇員持續增加的機敏資料外儲媒介應用

Covid-19的全球肆虐下,根據Digital Guardian 全球Managed Security Program 整理近200家匿名客戶資料觀測研究之Data Trends數據發現,企業應用資料移動的情境有123%轉移至USB外接裝置,其中的74%為企業分類之機敏資料應用;USB外接裝置為常見之資料移動媒介,一般情境下經常使用於下載大型檔案資料交換需求,對象包括:同事、客戶、合作廠商等應用。Covid-19下此類面對面之實體儲存媒介交換之需求比例理應大幅度的下滑,然而實際上我們卻看到此行為反向的成長,企業對此趨勢不得不審慎提高其風險意識及可能帶來的外洩事件。

 

資料流向往外趨勢上升,資安團隊須重新思考安全邊界的防護守則

隨著新形態員工在宅工作的出現,資料經過Email、USB、Cloud等方式流通的比例也比疫情前提升了80%,根據統計其中包含50%為企業認定的機敏資料,管理階層普遍相信原本的資安防護守則需再次被提出思考與修正的可能,在宅工作也不再是疫情下的過渡時期,而是轉變為常態型的工作類型,企業面臨資料控管的防護升級已刻不容緩。

 

企業組織應強化員工的資料安全保護意識以防範外部可能的風險來源

全球資安人員的匱乏以及員工資安風險意識的警覺性,疫情下成為企業面臨的嚴峻挑戰,全球惡意程式活動持續增加了62%的事件,連帶導致了企業需投入Incident Response的資源提升了54%企業員工的資安意識教育訓練成了在宅工作前的必修課程,如何有效的延伸資安團隊的效應至提升每個員工執行的資安防護守則,已成為企業管理階層必須面對的頭號課題。

疫情下機敏資料防護的五大守則建議:

對企業資安團隊而言,Covid-19疫情帶來的挑戰是風險也是機會,原先的資安防護機制與政策並非設計於遠端工作類型,眾多的企業機敏資料存取權限控管也並非處理非企業環境的資料安全邊界,資安團隊需隨著此次的轉型,來防範過往未曾遭遇的新型態安全威脅與資料外洩風險。有鑑於此,我們提供五大守則建議如下:

  1. 資料治理政策的制定修正與發佈

無論是透過Email、Cloud、USB、Messenger等亦或Slack、Evernote其他方式,現在都是一個非常適當的時機,去審視及修正資料的管理條例,並導入良好的資料外洩管控機制,特別是在機敏資料使用及移動方式的宣導,適時地發佈資安政策落實於企業組織的每位員工,將能為過往不易改善的資安風險帶來顯著的進步。

 

  1. 標籤化機敏資料識別

確保任何高機敏資料具備識別與控管方式,標籤化機敏資料涵蓋:IP智財、財務報告、交易資訊、員工個資及合約等資料類型,企業是否已導入對應的機敏資料管理機制,對於未經授權存取資料的行為是否具備追蹤阻擋等判斷準則與執行政策,針對在宅工作的資料外洩風險是否有合適的資安解決方案。

 

  1. 機敏資料存取權限控管

無論已導入資料外洩亦或其他解決方案,仍需要注意機敏資料存取權限控管本身是否有遵循Principle of Least Privilege(PoLP)最小權限原則,以降低任何可能產生風險的攻擊表面,並執行適當的稽核管理機制,確保持續營運的作業管理政策能順利執行。

 

  1. 辦理組織內部資訊安全教育訓練

許多組織過往即有定期之資訊安全教育訓練課程與宣導機制,疫情下須注意實體工作環境的教育訓練已不再一體適用,員工分散於各點及在宅工作,線上的溝通與訓練模式將是主要的運行守則,遠距工作伴隨著遠距教學的應用情境,需有對應的機制來做辦理。

 

  1. 應用程式隔離技術

在宅工作意味著使用非企業所控管的網路環境,甚至使用自宅個人電腦/筆電來存取組織的相關系統及資料,增加企業資訊安全政策邊界執行的困難度,資安團隊應思考如何避免或降低個人裝置及環境使用的可能性,也能提供在宅工作所需的企業工作環境。根據Zero-Trust之原則,自動將高風險的非信任之應用程式置於隔離區,並針對使用者所下載的檔案,透過檔案清洗技術於其他防毒軟體還在未知(沒有防護定義檔)前,就能達到100%防護。

 

如有任何資安相關需求,歡迎隨時與我們聯絡!

www.iSecurity.com.tw   |   (02) 7702-1088  | 數位資安系統股份有限公司

Posted in 新聞 and tagged , , , , , , , , , , , .