如何避免企業敏感數據泄漏?

近年企業因員工遺失USB隨身儲存手指、便攜硬碟、手提電話等裝置,而導致泄漏公司機密或客戶私隱等新聞時有所聞。事實上,現今不少企業IT部門是被太多需要保護的移動設備所「淹沒」,數量之多令許多隨身攜帶設備(BYOD)如智能手機和平板電腦等不被管理,暴露於數據洩露和丟失的風險之中。

根據Check Point的研究顯示,不少企業沒有意圖管理員工所持移動設備中的企業信息,只有少數企業懂得使用移動設備管理工具或保護軟件。

不控不管肯定亂

為什麼員工個人設備上的數據與資產安全風險會被忽視?其中一個原因是企業的IT團隊沒有充分時間與資源管理移動安全,唯一的解決方法是甄別哪些問題需要優先處理,但事與願違,員工所擁有的移動設備數量增長遠超於相關管理資源的增加。

這些企業寄望員工在使用其移動設備傳輸企業數據時,會有意識地保護數據安全,事實上大部分員工也的確如此。但是,員工最專注的是高效率完成工作,不會理會他們的舉動是否會構成安全風險。其實在大多數情況下,員工不會故意外泄公司數據。

儘管如此,數據意外洩漏仍時有發生,Check Point的研究顯示,IT專業人員發現,相比網絡犯罪,粗心的員工給企業帶來的安全威脅更為嚴重。

管理內容而非設備安全

企業應該如何保護員工移動設備中的企業敏感數據免遭丟失或失竊?首先,企業應教育員工瞭解公司的數據安全政策,以及數據丟失可能造成的負面影響。

不論數據儲存於何處,安全管理的重點都應放在識別、隔離以及加密數據。只要把這個法則做得到位,即使公司用戶複製企業數據至移動設備,或者通過郵件及其它應用程序獲取數據,此等數據在設備丟失時仍會安全。更好的辦法是把保護數據安全的過程自動成為安全政策的一部分。如今新一代安全產品在操作時不會非常干擾使用者,安全設備越少對用戶工作影響,保護企業數據安全的效果越佳。

總括而言,企業的移動安全管理重點應該是商業數據,而不是員工的各種個人設備,因為管理設備會影響員工使用時的體驗及隱私,而這將導致員工規避安全政策,變成「上有政策,下有對策」。

聚焦管理企業數據有助於緩解隨身攜帶設備(BYOD)的安全問題,只要數據處於安全狀態,並且使用此等數據的員工具有相應的使用權限,那訪問數據的移動設備只是次要。此外,落實推行安全政策也至關重要,因為它可以減低IT團隊管理應對移動設備日增的壓力。