在資訊安全鏈之中,人是最薄弱的環節。
即使擁有最嚴格的防護和最先進的設備,公司的關鍵資料還是會有被竊取的風險,特別是當你的員工沒有警覺到(或更糟的,不在意)他們所造成的安全風險。透過預防措施可以防止資料外洩事件。可以保護好電腦設備跟系統以防禦來自外部的攻擊。
儘管如此,企業老闆還是要知道人是資料防護裡最重要的一個因素。
為了讓大家可以更了解它的重要性,趨勢科技和研究單位 – The Ponemon Institue合作來讓企業主可以了解這個問題以及解決方法。你可以到這裡來看看我們共同合作的報告摘要。除了這份報告之外,還有一些重要的文章會對你有幫助:
- 我們的資料風險計算器,讓你可以計算自己的資料風險處在什麼級別
- 我們的入門書 – 「每個中小企業都該知道的五大資料安全風險」,讓你可以真正了解困擾中小企業的資料安全風險。(中文: 關於資料儲存,中小企業都該知道的五件事-上 中 下)
- 我們的資料圖表 – 「資料防護裡最薄弱的環節:人為因素」,可以讓你快速了解你的員工在整體安全防護中所佔的地位。
人為因素:資料防護裡最脆弱的環節
公司最重要的資產是員工,但這同時也可能是最脆弱的一環。特別現在是強調行動資訊,隨時連線以加強生產力的時代。
員工的疏忽讓公司陷入風險。
>78% 的公司曾經在過去兩年內遭受至少一次的資料外洩事件。
雖然現在的網路犯罪日漸猖獗,只有 8% 的公司最後發現資料外洩的主因來自外部攻擊。
員工行動化可能帶來災難。
前三大資料外洩原因
- 35% – 筆記型電腦或是其他行動裝置遺失
- 32% – 第三方問題造成
- 29% – 系統故障
35% 的公司發現筆記型電腦或行動裝置遺失是資料外洩的主因。其中有56% 發生時,員工他們的筆記型電腦、智慧型手機、平板電腦或其他行動裝置存放有機敏資料。
員工不會回報帶有資料的行動裝置遺失事件。
只有 19% 的員工會自動回報資料外洩事件。
56% 的公司承認資料外洩事件都是無意中發現的。
十大員工危險行為
- 透過不安全的無線網路上網
- 沒有將非必要但機密的資料從電腦中刪除
- 將密碼分享給別人
- 在不同的網站或線上帳號使用相同的名稱密碼
- 使用隨身碟儲存機密資料卻沒有加密
- 在工作場所之外讓電腦處在無人看管的狀態
- 遺失放有機密資料的隨身碟時沒有通知公司
- 遠端處理公司機密文件時沒有使用安全管道
- 旅行時在筆記型電腦裡帶著不必要的機敏資料
- 使用個人行動裝置來存取公司網路
想要有效的防護資料,不僅需要員工付出時間跟精力,公司也需要做到它該做的部份。
三大保護公司資料的必要條件
1. 資料防護技術
只有 43% 的公司透過資料防護技術來充分保護他們的敏感或機密公司資料。
2. 安全的網路架構
64% 的公司需要重新規劃他們的網路安全架構以防範資料竊賊 – 駭客或惡意內賊。
62% 的員工會打開垃圾郵件的附件或是點下連結。
3. 資安教育訓練
67% 的公司認為他們的資安教育訓練不足以阻止進階持續性攻擊或駭客。
60% 的公司不認為他們的資料安全教育訓練足以在員工輕忽或有內賊情況下保護好資訊財產。
@原文出處:The Human Factor in Data Protection [INFOGRAPHIC]作者:趨勢科技Ryan Certeza