打擊資料外洩！2022 年如何應對非結構化資料的隱藏風險

Exonar 行銷主管

2021 年 11 月 17 日發表的文章

本文章根據 Exona 對線上研討會的摘要整理加以說明。

跨國組織應如何避免資料外洩？

身處勒索軟體攻擊、網路安全與資料外洩新聞事件頻傳的時代，如何確保組織持續受到防護？在活動中專家們特別提到避免資料外洩不僅只與IT團隊有關，而是牽涉到多個部門、人員與流程，建議組織採取 7 大關鍵行動包括：

1. 投資人員與技術

投資資料專業人士、治理團隊與技術工具。缺乏正確技能與技術，最終會演變成試圖以極為人工的流程管理資料，進而導致風險增加。

持續提供人員必要的教育訓練，建立意識並使其具備辨認釣魚郵件的能力。最大的挑戰是讓大家關心，而且是持續關心。確保大家瞭解資料治理與安全團隊正在試圖提供協助，以及自己身處在更大規模的流程中，透過貢獻一己之力實現組織安全。

試著將安全意識遊戲化，讓大家保持興趣並帶入生活化的題材。內容必須保持新鮮多樣，否則會降低大家的參與意願。請善用指標來衡量這些做法是否有效。

2. 採用正確流程

定義資料的擁有者（data owners）與管理者（data stewards），並且設置一套正確且健全的資料治理架構是至關重要的；資料的擁有者與管理者必須要是管理實際使用的資訊系統以及生成的資料的人員。

資料擁有者必須要有能力針對資料安全做出相關決策。最重要的是這必須被定義在其工作說明中，並將視為應分配時間完成的關鍵責任領域，切勿認為這項工作可以在日常閒暇之餘中抽空完成。此外，應該更務實一點 — 您不可能把十萬個非結構化檔案變成某人的責任，又期待他能夠輕而易舉的著手管理。

將資料隱私、保護與安全性納入設計，如組織內分享資料的流程，或在整個生態系統中資料被分享的地點。

3. 讓資料保護政策能夠落地

制定政策，讓企業內人員在管理、處理資料時有所依據，但切勿讓其淪為紙上談兵。確認如何將這些政策付諸日常實務，以保持在顯著與重要的位置上，以及將原則與政策納入作業流程，這些是絕大多數組織未能採取的步驟。

4. 取得董事會認同

今年受到高度關注的勒索軟體攻擊影響，讓資料外洩與網路安全成為董事會層級的議題。然而，可能仍會出現「這絕不會發生在我們身上，我們寧願冒險也不願意投入預算」的狀況；因而讓與高階主管就投資降低風險舉措的討論變得相當不易，尤其是當資料外洩事件並未發生時。因此需要使用董事會能理解的語言與其溝通，找出他們願意聆聽的話題。

利用相關組織所發生過的網路釣魚、勒索軟體攻擊或其他重大事件作為案例，讓風險的威脅感更具體。

透過購買解決方案前的試用，幫助您瞭解目前資料內問題的嚴重性，並整理出投資該項解決方案的商業論證。

5. 利用模擬演練，示範資料外洩發生時的狀況

模擬演練有助高階主管瞭解缺乏防範資料外洩的預算或工具時，最終可能會演變成 CXO 需要站到第一線面對權益受資料外洩影響的客戶，以及捍衛企業商譽的局面。

進行模擬演練以計算影響層面。確認業務可接受的風險程度為何？考慮內部成本、以定量與定性分析監管影響，以及發生資料外洩時對商譽損害的衝擊。

6. 從錯誤中學習

若您的組織遭遇過資料外洩，從經驗中吸取教訓。絕大多數的情況下，組織如果處理得當，都能將資料外洩轉化為對自己有利的情況。若再次發生資料外洩也會更容易控制。長遠來看，著手改善那些看起來格外令人絕望沮喪的情況，反而可使組織受益。

7. 瞭解組織所擁有的資料

當您不瞭解自己擁有的高度機敏資料為何時，就無法找到資料並加以保護。透過相關解決方案或軟體以便找出風險，以及組織「至關重要」的資料。如此一來，便可檢視是否透過改變如權限等簡單的內容提升安全性，或將可具備自動分類資料的能力。