企業高階主管洩密事件頻傳,IT如何導入必要資安工具
近來許多產業陸續爆發主導公司經營的副總級以上主管,直接參與營業秘密洩密的案件,導致國內企業主人心惶惶,要求IT部門擬定相關配套方案以預防這類事件。但是高階主管的資安政策一向是台灣企業難以落實管理的一環,大多缺乏這類工具的導入經驗,如何管理公司高階主管也經常是個難題。
中華數位企業資料保護研究小組藉由幾個輔導大型跨國集團的經驗,提供IT人員在工具選擇與導入的實質建議。
從資安工具角度出發,中華數位企業資料保護研究小組建議首先導入高階主管的備份工具。通常高階主管的資料敏感度高,且能夠查看的人少,如果平時沒有強制要求備份的政策且搭配自動化工具,在資料外洩情事發生時,因為不清楚所擁有的資料,根本無從追查起。接下來則是Log記錄,包括資料傳輸記錄(IM、網路、WebMail)、USB傳輸記錄、列印記錄等,都建議導入功能比較強大的Log記錄工具來妥善保有紀錄與證據。基於高階主管的位階與信任度,最常與資料保護劃上等號的加密工具,通常不建議用來管理高階主管。
在工具的選擇確定後,因為管理的對象敏感,在導入與管理的作法上,建議必須由公司的老闆階級核定後才能進行,或交由外部顧問主導。因為高階主管管理議題敏感度高,聘請外部顧問來協助導入除了能夠緩和這類工具導入的衝擊外,更可以確保工具導入後的效益。實務上,曾有企業的IT在接受老闆命令後,在不通知相關主管下直接部署工具進行資料的自動化備份與Log回報,但通常成效不彰。因為高階主管所使用的筆記型電腦、備份硬碟、雲端空間如果沒有明確的規範與要求,就算導入了工具,監管的範圍可能還是錯的,企業仍屬於高度風險狀態。
中華數位企業資料保護研究小組,長期針對國內IT單位最缺乏經驗的全企業級資料管理制度,提供資安工具佈署輔導,針對最複雜的加密工具、Log資安稽核與分析報表、企業級雲端資料資安工具等,結合其顧問團隊於營業秘密管理的經驗,協助提供企業用戶最佳的資料安全管理解決方案。