在资讯安全链之中,人其实是最薄弱的环节。即使拥有最严格的防护和最先进的设备,公司的关键资料还是会有被窃取的风险,特别是当你的员工没有警觉到(或更糟的,不在意)他们所造成的安全风险。透过预防措施可以防止资料外泄事件。可以保护好电脑设备跟系统以防御来自外部的攻击。
尽管如此,企业老板还是要知道人是资料防护里最重要的一个因素。
为了让大家可以更了解它的重要性,趋势科技和研究单位– The Ponemon Institue合作来让企业主可以了解这个问题以及解决方法。你可以到这里来看看我们共同合作的报告摘要。除了 这份报告之外,还有一些重要的文章会对你有帮助:
我们的资料风险计算器,让你可以计算自己的资料风险处在什么级别,我们的入门书– 「每个中小企业都该知道的五大资料安全风险」,让你可以真正了解困扰中小企业的资料安全风险。(中文: 关于资料储存,中小企业都该知道的五件事-上中 下 )
我们的资料图表– 「资料防护里最薄弱的环节:人为因素」,可以让你快速了解你的员工在整体安全防护中所占的地位。
人为因素:资料防护里最脆弱的环节
公司最重要的资产是员工,但这同时也可能是最脆弱的一环。特别现在是强调行动资讯,随时连线以加强生产力的时代。
员工的疏忽让公司陷入风险。
>78%的公司曾经在过去两年内遭受至少一次的资料外泄事件。
虽然现在的网路犯罪日渐猖獗,只有8%的公司最后发现资料外泄的主因来自外部攻击。
员工行动化可能带来灾难。
员工行动化可能带来灾难
前三大资料外泄原因
1、35% -笔记型电脑或是其他行动装置遗失
2、32% -第三方问题造成
3、29% -系统故障
35%的公司发现笔记型电脑或行动装置遗失是资料外泄的主因。其中有56%发生时,员工他们的笔记型电脑、智慧型手机、平板电脑或其他行动装置存放有机敏资料。
员工不会回报带有资料的行动装置遗失事件。
只有19%的员工会自动回报资料外泄事件。
56% 的公司承认资料外泄事件都是无意中发现的。
十大员工危险行为
1、透过不安全的无线网络上网
2、没有将非必要但机密的资料从电脑中删除
3、将密码分享给别人
4、在不同的网站或线上帐号使用相同的名称密码
5、使用随身碟储存机密资料却没有加密
6、在工作场所之外让电脑处在无人看管的状态
7、遗失放有机密资料的随身碟时没有通知公司
8、远端处理公司机密文件时没有使用安全管道
9、旅行时在笔记型电脑里带着不必要的机敏资料
10、使用个人行动装置来存取公司网络
想要有效的防护资料,不仅需要员工付出时间跟精力,公司也需要做到它该做的部份。
三大保护公司资料的必要条件
1. 资料防护技术,只有43%的公司透过资料防护技术来充分保护他们的敏感或机密公司资料。
2. 安全的网路架构64%的公司需要重新规划他们的网路安全架构以防范资料窃贼–骇客或恶意内贼。62%的员工会打开垃圾邮件的附件或是点下连结。
3. 资安教育训练
67%的公司认为他们的资安教育训练不足以阻止进阶持续性攻击或骇客。60%的公司不认为他们的资料安全教育训练足以在员工轻忽或有内贼情况下保护好资讯财产。
@原文出处:The Human Factor in Data Protection [INFOGRAPHIC]作者:趋势科技Ryan Certeza。
