協作是現代職場中最重要的特質,不過,實施方式如有不當,協作環境也可能出現安全隱憂。以下說明如何在不降低安全防護程度的前提下增強職場協作能力。
怎麼樣算是健全的職場?隨便問任何一位主管或任何一位工作者,對方的回答或多或少會出現協作這個字眼,或者是「團結合作」這個同義字。
理所當然,不是嗎?要讓辦公室保持氣氛愉快並發揮正常機能,團隊合作是不可或缺的要素,無論如何,一定要優先促進協作。再者,雲端運算技術及能夠協作的文字處理器不斷進步,在日常作業中發揮協作精神越來越簡單。
即便如此,協作模式仍有其缺點,這是非常可惜的事。若未備妥預防措施,開放的協作環境也可能出現安全隱憂—若涉及敏感資料更是如此。
此外請務必留意,敏感資料已經不再限於信用卡號碼及醫療資料這類資訊。我們生活在必須遵守 GDPR 的時代,現在,即使只是一份註明了電話號碼和電子郵件地址的銷售試算表,倘若處理不當,也有可能引發嚴重的法遵及安全問題,招致大額罰金。
協作會出現那些安全風險?
如前所述,協作主要的疑慮在於安全資料處理不當,這種情況不但有可能引發安全疑慮,也可能讓人為了法遵問題而焦頭爛額。
現在的人普遍知道安全環境中最弱的一環並不在於防火牆、防毒軟體,也不在於 SIEM。最弱的一環是人。大規模的資料外洩事件總是源自於非常簡單的人為錯誤,人們卻總是重蹈覆轍。有人忘記鎖住儲存了大批敏感資訊的 S3 貯體,有人透過 Google 磁碟分享患者資料,也有人誤入網路釣魚陷阱。事實上,根據Verizon 的 2018 年資料外洩調查報告,相較於因為實際漏洞而遭攻擊,公司行號遭社交攻擊法 (以人為主要目標) 攻擊的機率高三倍以上。
所以,有一點是真實無誤的:只要允許越多人存取及使用敏感資訊,資料外洩的風險就會因越多威脅的存在而成倍增高。
避免使用者利用影子 IT
在協作模式普及的時代,BYOD 和雲端運算、影子 IT 已經成為大小型組織共同的困擾。公司防火牆不再如以往是既定的防禦疆界,使用者能運用自己的裝置工作,或是在家工作,因此,除了公司提供的工具之外,使用者難免會尋求其他技術。免費的雲端儲存工具無所不在,更助長了問題的嚴重程度。若有兩名不在公司內部工作的使用者需要分享眾多大型檔案,他們很有可能會先選擇處理私人檔案時所用的工具:Dropbox 或 Google 硬碟。遺憾的是,倘若設定不當,這類工具會成為非常大的安全漏洞,何況,免費版本當然不會遵守嚴格的法遵標準。那麼,該如何避免使用者利用影子 IT 呢?要提供使用者需要的工具。找到能協助使用者完成工作的解決方案,而且要越簡單易用越好,這樣才有助於避免在過程當中出現任何瓶頸。
讓員工透過...安全又符合法律規範的方式協作。歡迎參閱這份免費電子書,深入瞭解相關資訊。
舉例來說,如果使用者需要傳輸大量敏感資料,像 MOVEit 這樣的管理式檔案傳輸解決方案就能讓使用者實現全面掌控,同時又能透過端對端加密和稽核記錄等功能保障安全。
主管如何培養安全的協作文化?
我們已經瞭解了使用者在欠缺資安預防措施的情況下進行協作可能會引發哪些資安風險,不過,這並不表示我們應該徹底杜絕協作模式。那麼,既然不想用限制重重的原則讓員工綁手綁腳,您該如何培養安全的文化呢?
答案就是員工培訓加上根據工作內容找到合適的工具。先談談培訓。
理想情況下,從執行長開始,企業組織中的每一位員工都該接受資安與法遵意識相關培訓。不妨將這類培訓視為預防維護措施。使用者接受的培訓越多、對威脅情資的認識越深,鑄成大錯的可能性就越低。因此,請安排員工培訓課程,讓員工瞭解網路釣魚電子郵件相關知識,同時也讓他們懂得辨別敏感資料,以免透過不安全的管道傳送這類資料。若讓員工瞭解資安與法遵風險,就能降低員工使公司經營陷入困境的可能性。您甚至可以設定假的網路釣魚電子郵件,然後將郵件發給您的員工,再要求最容易輕易點擊這類郵件的員工接受進一步的資安意識培訓。
如果您有充足的資源,就可以自行提供培訓,如果沒有,也可以外包給外部公司行號。使用者對網路安全的認識越深,他們害怕網路安全問題或感到手足無措的可能性就越低。
共用安全資料夾簡化檔案共用程序
如果您希望員工能夠透過安全的模式進行協作,一定要提供正確的工具。
只要攸關敏感資料,消費級的檔案共用解決方案就不夠安全。您需要像MOVEit 這樣的管理式檔案傳輸工具,這項工具能夠運用端對端加密技術保障資料在傳輸中及閒置中的安全程度,同時也能讓您運用存取控制和稽核記錄,確實管理能夠存取及傳輸敏感資料的人員。
MOVEit 的共用安全資料夾是一項新功能,可以讓使用者自行建立安全共用資料夾並與網路內外的任何人共用,管理員則能全權控管權限與稽核記錄,因此能夠發揮消除瓶頸的功用。無論用於 Windows 或 MacOS,只要使用共用安全資料夾,輕輕鬆鬆就能透過拖放方式設定靈活的部署選項,除了有助於促進您與內部及外部使用者 (數量不拘) 之間的協作,還兼具 MOVEit 的一切標準安全防護功能,包括防竄改的稽核記錄以及精細的檔案開放權限。
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.
評語
主題
Sitefinity Training and Certification Now Available.
Let our experts teach you how to use Sitefinity's best-in-class features to deliver compelling digital experiences.
Learn More
