新冠肺炎(COVID-19)造成全球性危機,許多企業紛紛啟動在家工作(Work from Home)緊急措施,試圖降低疫情對企業持續營運的影響,但大部分仍在觀望的企業,尚未採取行動最主要的考量即為「資訊安全」,近來也有許多針對遠距會議或上課的資安疑慮,導致希望維持正常上課上班的教育單位或企業,對於該如何選擇正確且安全無虞的工具傷透腦筋。
防疫也要防駭!資安社交工程演練不可忽略
首重資訊安全與數據治理的精誠資訊,於疫情爆發初期就積極籌劃分區辦公或在家辦公與集團業務備援策略,提出企業遠端工作安全指南,包含「員工管理」、「員工自有設備辦公」、「連網安全管理」與「企業內部營運管理」4大管理重點,讓員工在家辦公作業的同時,防疫也防駭。
精誠資訊資安中心表示,大家平常最容易忽略的資安風險其實就是平日資安意識的建立以及資安社交工程演練,如同防疫一樣,稍微鬆懈就容易被駭客找到破口,每位員工的資安意識建立以及平日積極施行資安社交工程演練,建立資料作業邊界,明確定義公司資料存取與編輯的環境限制,一旦需要緊急安排異地辦公或居家上班,也能依照資安規範,避免誤觸機敏資料導致資料外洩帶來損失。
4大重點建立員工正確資安思維 助企業持續營運
第一,針對企業內部營運管理部分,建議採取最低權限的授與策略,必須從原本習慣的「信任並且驗證」的思維,轉為「驗證且永不信任」,使用零信任的網路架構,實施網路與身份存取控制。
此外,遠端會議系統的選擇與把關也十分重要,必須強化宣導員工避免在社交平台共享線上會議連結以防範公司機敏資料外洩;存取公司內網系統時需搭配多因子驗證(Multi-factor Authentication, MFA)進行身份檢查並紀錄,掌握人員遠端作業存取的人事時地物;此外也必須導入資料外洩政策(Data Leak Prevention),建立資料生命週期。
第二,員工以自有設備辦公(Bring Your Own Device, BYOD)越來越普遍,應避免使用盜版作業系統、安裝防毒軟體,並定時進行系統與程式更新等企業資訊安全管理作業。第三,有連網需求時需選擇安全的網路環境,避免使用外部未知或免費的WIFI進行連線,特別是需進入公司重要系統或資料庫時,應採取VPN加密進行連線,讓公司IT人員可以有效洞察網路活動。
第四,員工是企業重要的資產,企業應該預先建立緊急聯絡人名單,進行員工狀態追蹤,並定期進行人員安全回報管理。在疫情非常時期,遵照企業遠端工作安全指南雖能達到一定成效,但若平時企業即有妥善規劃企業資安防禦系統及提升員工資安意識,效果絕對事半功倍,且對企業營運也有加分效果。