混合辦公時代,如何防堵內部人員風險

By 2021-06-21電子報專刊

資料來源:微軟新聞中心

過往分明且封閉的辦公環境架構,在一夕間改為遠距工作模式,較為機敏的資訊也隨之暴露於風險中,僅需一位員工身份即可連上多個網路,以未經授權的裝置存取企業機密資料,把敏感文件儲存在個人隨身碟和雲端空間,導致公司內部出現諸多內部人員風險或資安威脅而未加留意,不僅可能損害公司聲譽,也可能產生鉅額賠款及龐大責任。

要讓員工順暢存取資訊,同時又維護數據安全及確保合規,並非不可能的任務,本文將簡介混合辦公環境中內部人員風險大幅增加的情形,並分享資安長(CISO)及其他資安人員有哪些應對方法。.

規模

內部人員風險又可大致分為兩類,分別是「蓄意」及「無意」的資料外洩。

蓄意的資料外洩:指有心人士懷抱不良意圖造成的資料外洩事件,比如離職員工竊取智財IP,或者並非偶然地違反保密規定。

無意的資料外洩:指因為員工疏忽或者不知道作法不安全而造成的資料外洩事件。

mixedoffice_01
資料來源:顧能顧問公司(Gartner),《2020年內部人員風險管理解決方案市場指南》
(2020 Market Guide for Insider Risk Management Solutions),Jonathan Care等人著,2020年12月29日。

此外,員工注意力不集中和過勞的情形也不斷增加。2020年有份調查指出,遠距工作者的每日工時平均多出3.13小時,且工作往往全在線上完成,每周會議及通話次數亦增加,導致心力交瘁、疲勞過度。

資料是否安全,取決於企業員工能否審慎對待,而今員工身心壓力節節上升,勢必將有疏漏。無論是蓄意的還是無意的,以下這點昭然若揭:混合辦公環境會產生可能遭人利用的新資安弱點。

企業於管理內部人員風險時應三管齊下,方能在維持資訊分享暢通無礙的同時,保護非公開知識。

1.打造資安第一的企業文化

mixedoffice_02

若是無法令全體員工覺得公司信任自己,而自己也有能力保護公司,那麼再先進的資安措施都無法發揮作用。因此,應針對員工在維護資安方面所扮演的角色提供相關資安訓練,並開誠布公地溝通,例如:保護資訊、妥善分類資料、利用適當的防護平台保護應用程式、平台及裝置等。

公司員工皆應先「假定無罪」,畢竟沒有人想一直被用放大鏡檢視,或者隱私遭到侵犯。在公司的威脅偵測技術中納入個人保護措施,確保員工當天下班後,工作裝置的信號偵測功能也隨即停止。公司員工即盟友,確保情報資訊安全無虞的同時,也應幫助他們協同工作、創造生產力。

2.採用全面性資安解決方案

mixedoffice_03

企業應全盤掌握員工工作的所有地點,才能洞悉資料還可能從哪些管道外流。此處說的所有地點應涵蓋公司、雲端、第一及第三方應用程式和協作服務、瀏覽器等,無一遺漏。目前成效最佳的系統,皆運用機器學習和分析,檢視一連串的訊號及攻擊面潛在威脅,並比對交互關聯,資安團隊因而得以快速採取行動或進一步調查,並妥善提升應對層級。此外,組織在選用系統時,也應注意該系統除辨識風險外,是否也能同時利用假名化及強化存取控制等功能保護員工隱私。

mixedoffice_04
資料來源:顧能顧問公司(Gartner),《2020年內部人員風險管理解決方案市場指南》
(2020 Market Guide for Insider Risk Management Solutions),Jonathan Care等人著,2020年12月29日。

另一項要素則是橫跨IT、法務、人資各部門的團隊合作。有了合適的資安工具及各必要團隊的支援,企業便可在幕後推行資安措施,又不影響終端用戶的工作流程,此外還能找出需要強化教育訓練的領域,化問題為學習。

3.應對方式合乎比例原則

mixedoffice_05

近來聽客戶說,他們利用機器學習分析訊號、比對關聯,找出哪些活動將可能導致重大危害。系統上線的隔天就收到警示,指出了他們原先並未發現並可能蘊含風險的使用者行為,相較五級警報火災,更像是原先可能成為燎原之火的餘燼。他們撲滅了火苗,發布了必要的更新,然後一切如常。

mixedoffice_06
資料來源:顧能顧問公司(Gartner),《2020年內部人員風險管理解決方案市場指南》
(2020 Market Guide for Insider Risk Management Solutions),Jonathan Care等人著,2020年12月29日。

企業若能更洞悉情況、掌握行為,就更能清楚認識潛在危機,如此一來當問題發生時,領導者便能冷靜應對,從而避免衝動或盲目行事,並以合乎情勢的相應措施來保障公司安全。正因有如此完善的掌控,才能確保企業運作一切安全、順暢。