資料外洩 與 資安防護 一直被歸納在資安長 (CIO) 與 IT部門、MIS人員的身上。
不過、這幾年CEO和董事會已經意識到數據外洩對企業帶來的損害與災難,也主動參與網路安全與資料外洩防護(DLP)的決策。
傳統上,公司依靠CIO或IT部門就網路安全策略做出正確的選擇。他們的職責範圍從選擇網路安全產品到為員工教育訓練,藉此提高憂患意識與避免資受到不必要的損失。
但隨著資料外洩案件的節節攀升,全球都受到相當大的影響,從歐盟到中國大陸都在推動數據保護法規(個資法/GDPR)。CEO對於預防資料外洩,也開始感到壓力。
根據埃森哲(Accenture)2018年的網路彈性狀況報告:
- 66%的CEO在網路安全問題上擁有最終發言權
- 59%的網路安全預算是由董事會或CEO授權
- 這些數據較2017年增加了33%
隨著CEO和董事會在網路安全策略中扮演更加積極的角色,CIO和IT部門需要意識到他們的主要擔憂以及如何解決這些問題。以下是最突出的三個:
- 公司同仁是否始終遵守規定?
- 即使裝置沒有連線,也可以確保資料不外洩嗎?
- 資安保護政策是否能減少對員工生產力的影響?
1.公司是否始終遵守規定?
對公司而言,規定是用來遵守、而非打破的。CEO的首要考慮是確保公司不會收到罰單(罰款)。再者、資安事件會影響客戶的信賴,不僅如此,CEO的職業生涯也受到威脅~
在發生重大數據洩露事件後,許多CEO被迫辭職。
隨著各國採用越來越複雜的資料防護法規,CEO們想知道自己的公司是否始終符合要求。儘管許多資料防護法規具有相似的要求(例如,配備了適當的網路安全軟體),並且許多法規從歐盟的《通用資料防護法規》中獲得了啟發,但各個國家/地區的一些關鍵點有所不同。還值得注意的是,這些新的或更新的法律中有許多具有境外條款。
因此,重要的是,即使僅進行線上交易,跨國貿易的公司也必須確保符合客戶國家/地區的法規要求。
2.裝置沒有連線,也可以確保資料不外洩嗎?
CEO會面臨的另一個問題~需要防護的資料並不是總放在公司內的電腦中。無論是業務外出談案子、工程師/PM 分析專案,將有機敏資料的筆電攜帶出公司是很常見的情況。
因此、管理人員必須尋求一個適當的解決方案,讓筆電等裝置在公司環境外時,仍能做到資料防護,且同時能讓員工完成外出所需的任務。
遠端作業還意味著設備可能會被盜或放錯位置,無論是筆電、隨身碟或行動裝置都會有此風險。資安人員必須確保即使設備遺失,裡頭的資料仍受到防護。
通常、我們會用加密和遠端抹除等方式來完成此操作。
在此問題中,法規上的問題也變得很重要,因為離開公司網路環境有可能是員工「未依照規定作業」導致,這往往會造成公司因資料外洩而被控告、罰款。
因此,重點還是用戶端的資料防護。
3.資安保護政策是否能減少對員工生產力的影響?
生產力(效率)應該是台灣CEO最關心的問題。同時、這也是許多CIO和 IT經理 無法考慮的層面。主因是資安人員需要大幅降低發生機敏資料外洩或其他資安事件的機率,但CEO必須先著重於員工的生產效率,因為這是公司生存的根本。繁瑣的政策會讓員工試著(用自己的方式做事)避開政策,進而產生新的漏洞。
因此,導入DLP(資料防護)產品或政策時,需先確定減少影響員工的工作習慣,再規劃出細的解決方案,並提供高度的靈活性。
同樣的,不同部門經常使用不同的軟體來提高效率,因此政策必須反映所使用資料的敏感性的類型和級別。
隨著CEO和董事會越來越多地參與網路安全監督,CIO和 IT人員 必須準備好回答他們的所有問題,並與他們一起建立有效的網路安全框架,以確保合規性並防止資料洩露。
瞭解更多GDPR的資訊,同時支援Windows、MAC、Linux 的DLP系統
https://epptw.com/
留言列表
資訊安全議題 (3)
