檔案狀態:    住戶編號:1574215
 ▃▂▁夢想天翼▁▂▃ 的日記本
快速選單
到我的日記本
看他的最新日記
加入我的收藏
瀏覽我的收藏
資安威脅:病毒藏在麥當勞折價卷 《前一篇 回他的日記本 後一篇》 <懷念愛情>..
 切換閱讀模式  回應  給他日記貼紙   給他愛的鼓勵  檢舉
篇名: 資安威脅:裁員潮當心資料外洩.
作者: ▃▂▁夢想天翼▁▂▃ 日期: 2008.12.06  天氣:  心情:

經濟不景氣導致企業紛紛緊縮編制,甚至採取裁員策略。針對這波正在陸續發生非自願離職潮,企業應平常即做好避免資料外洩準備。
離職員工導致資料外洩國內外案例:
刑事警察局於今年(2008)3月接獲企業報案,某企業離職員工自行成立一家與舊公司性質雷同的電子商務公司,該離職員工盜用接任同仁的帳號、密碼,入侵公司資料庫,甚至取得舊公司國外競標的訂單,竊取資料值5百萬台幣。今年(2008)初某購物台離職經理將客戶資料存入個人硬碟中,並盜賣14萬筆個資取得不法獲利。                    Check Point去年(2007)六月以「員工與資料安全」為題,向英國二百位高級資訊科技專業人士進行研究調查,結果顯示,接近半數英國人會把舊雇主資料帶到新公司使用。雖然有百分之七十四的受訪企業,規定員工不得攜帶公司資料離開辦公室,但仍有百分之八十五的員工承認可以輕易下載公司的商業競爭資料。
◎獲得授權的員工是導致企業資料外洩主因。儘管大型企業已紛紛採用如虛擬私有網路 (VPN)、防火牆以及網路監控工具等保護措施,試圖防範未經授權的外部人士存取專屬資訊,但這些解決方案仍不足以因應內部使用者日益加劇的威脅。                                                                                                                                                                      ◎許多員工都不清楚木馬程式與其他惡意程式可能出現在部落格的意見反應與網頁內嵌的其他程式碼中。           ◎6% 的終端使用者承認曾經對外洩漏公司資訊,16% 相信其他員工曾導致資料外洩。                                             ◎資料外洩成因包含刻意違反規定,例如竊取資料以換取金錢報酬,也可能是意外造成,例如員工隨處放置隨身碟或遺失內含客戶帳戶號碼的筆記型電腦等。
<小測試>貴公司有資料外洩風險嗎?
□是否在員工離職前,啟動資料保護與存取控制程序?
□是否有員工在離職前,已經將敏感資料「備份」在家中的電腦或未獲授權的儲存裝置?
□在員工違反公司安全政策,如將機密文件複製到 USB 時,有辦法立即察覺並阻止嗎?
□在監控與強制實施資安規定時,可兼顧員工生產力與避免「被監控」的反彈嗎?
□ 引進新的行動裝置或拓展遠端據點時,是否有相對防制資料外洩的對策?                                                              如果你的答案多數不確定的,那麼建議你看以完以下文章。
 十大避免資料外洩守則                                                                                                                                             根據世界著名會計事務所KPMG調查,全球有超過2.8億的人口在過去3年中,個人資料曾因防護不周而外洩;在2007~2008年間,駭客入侵造成資料遺失的受害人數,高達6,000萬人;46%的密碼未受妥善保存或加密保護,62%的人曾發生資料遺失。以下提供十個避免資料外洩守則:




1.防止員工將將機密資料複製到USB 隨身碟
員工離職前,可能會將資料複製留底,比如將機密文件複製到 USB 隨身碟時,企業最好採用可立即阻止員工的行為的 DLP資料外洩防護方案。另外,平日提高員工對於資料保護規定的認知,尤其是在「使用時」加以提醒,將有助於減少,甚至完全避免高比例的資料外洩問題,無論是刻意的行為或意外所造成的。


2.防止員工將敏感資料「備份」在家中
將公司帳戶清單轉售給競爭對手等許多行為很顯然應「嚴格禁止」,但是也有許多介於「灰色地帶」的違規行為,比如將敏感資料「備份」在家中的電腦或未獲授權的儲存裝置中。若未善加處理,可能將導致損害更嚴重的資料外洩問題。


3.偵測相關資料外洩事件,同時不會造成員工的不便與影響生產力
任何可能影響員工日常活動的新技術都必須聰明而精確地避免降低員工生產力及造成他們的挫折感。在監控與強制實施防範重要資料外洩的規定,以及讓員工與系統管理員能夠順利完成工作並推動業務成長之間,必須訂出一條明確的界線。


4.防止非必要的通訊協定進入公司網路。例如 P2P 通訊協定與 IRC 等。


5.限制所有網路使用者的權限。
舉例來說,核心層級的 Rootkit 會以裝置驅動程式的型態進行安裝;因此禁止使用者擁有「載入和釋放週邊設備驅動程式」權限將可大幅降低風險。


6.建議員工可以瀏覽及禁止瀏覽的網站。
許多員工都不清楚木馬程式與其他惡意程式可能出現在部落格的意見反應與網頁內嵌的其他程式碼中。制訂安全政策與網際網路使用方針,以便控管存取的資訊。還應該要求使用者避免安裝不明公司或組織所提供的檔案。


7.建議員工在接到電子郵件或電話時,勿透露任何敏感資訊。
銀行與其他組織絕不會透過電話或電子郵件要求提供帳戶資訊或身份證字號。


8.建議安裝採用多層架構策略的防護解決方案,以便在資料進入閘道之前,即可在網際網路層級確認其安全性。
另外在網際網路閘道,網際網路與企業網路或網際網路服務供應商網路的連接處保護資料。此外還應該在網路端點部署防護措施,以便在使用者的 PC 或伺服器上分析資料。


9.在網路上部署安全弱點掃瞄軟體
確保所有作業系統與其他軟體均已安裝最新的安全性修補程式,以更新及修補其中所含的安全弱點。所有使用者均應開啟作業系統、瀏覽器以及其他應用程式的「自動更新」功能。


10.持續定期更新所有系統。
為協助保護使用筆記電腦的行動化員工,請持續定期更新所有系統,並選擇具備網際網路層級 (in-the-cloud) 更新功能的安全防護產品

標籤:
瀏覽次數:96    人氣指數:4896    累積鼓勵:240
 切換閱讀模式  回應  給他日記貼紙   給他愛的鼓勵 檢舉
給本文愛的鼓勵:  最新愛的鼓勵
資安威脅:病毒藏在麥當勞折價卷 《前一篇 回他的日記本 後一篇》 <懷念愛情>..
 
給我們一個讚!