作為資安長的資料保護須知
資料就如同組織命脈。無論您為現任資訊安全長 (CISO),或朝著此一職位邁進,都應將保護敏感企業資料視為第一要務。不過,相關措施的難度正逐步攀升。2021 年一共發生了 1,862 件資料外洩事件,增幅達 68%,而每個事件的平均成本也高達 424 萬美元1。資料外洩往往會讓各方深受其害,不僅損及品牌權益和消費者信任、降低股東的信心、導致稽核不及格,還容易受到法律機構嚴格監督。
許多時候,您往往會過度聚焦於後續勒索軟體攻擊的防範措施上,因而忽略組織內的各項風險。舉凡內部敏感資料外洩、智慧財產 (IP) 遭竊、詐騙和違規事項,皆可能登上頭條,迅速重挫公司 (和您的職涯) 聲譽。時至今日,數位資產廣泛存在於各式各樣的地點,從地端、雲端到邊緣,應有盡有。Microsoft Purview 可提供由內而外的整合式方法,以滿足資訊安全長的各項所需,協助其有效降低公司內外的資料外洩風險,進而防範於未然。下方提供的幾個考量要點不僅可用來排定您工作重點的優先順序,也適合做為與董事會溝通的依據。
留意公司內部,以防堵內部威脅
鑑於「大離職潮」或「職場重新洗牌」持續發酵,全球組織正緊鑼密鼓地因應一波又一波的離職手續和新進人員報到事宜。Microsoft 的最新工作趨勢指數顯示,43% 的員工正考慮在未來一年轉換跑道。這波顯著的就業情況變革,也伴隨著「大規模資料外洩浪潮」。許多面臨轉職的員工,可能會 (刻意或在無意間) 一併帶走儲存於個人裝置內或透過協力廠商雲端存取的敏感資料。在 2021 年,15% 的員工上傳了比前一年度 (2020 年) 更多的企業資料至個人雲端應用程式。但更令人震驚的是,8% 的現有員工在 2021 年上傳的資料量,竟高達往常的 100 倍之多2。
身為資安長,您有責任確保散佈於多個平台、裝置和工作負載的資料安全無虞。因此,請務必思考自身採用的技術將如何與組織內的商務程序互動。而這也包括目前用來防範資料外洩的各項原則;尤其是,如果任職於受到嚴格管制的行業,例如金融業或醫療保健業,就更需格外留意。首先,請務必詢問自己:哪些對象可存取資料?資料應該 (或不應該) 存放在哪些地點?資料會如何運用?如何防範過度分享?雲端原生或全方位的現代化資料外洩防護 (DLP) 解決方案,可協助您集中管理適用於雲端服務、裝置和地端檔案共用的所有 DLP 原則。更棒的是,這種整合式 DLP 解決方案完全無需使用額外的基礎架構或代理程式,因此有利降低成本。即使身處動盪不安的時代,今日的職場依舊期望讓員工自由運用各種平台和服務,以建立、管理和分享資料。然而,在尋求減輕使用者風險上,這些員工所效力的組織經常得受限於有限的資源,以及嚴格的隱私權標準。有鑑於此,您需要藉助於工具之力來分析內部威脅,並提供整合式偵測和調查功能。而解決內部威脅的最佳解決方案,則應具備以下特點:
- 公開透明—採用從設計著手保護隱私的架構,在使用者隱私權和組織風險之間取得平衡。
- 可供設定—依照所屬產業、地理位置和業務群組來施行原則。
- 經過整合—確保工作流程能整合至存放於任何地點的所有資料中。
- 具可行性—提供深入解析,藉此啟動檢閱者通知、資料調查和使用者調查。
內部威脅保護措施應將範本和原則條件納入其中,藉此定義哪些項目會觸發事件,以及哪些指標有待檢查。因此,您的內部風險解決方案必須要能掌握組織內的潛在風險模式,並調查採用端對端工作流程的高風險活動。此外,有助於偵測違反行為準則之舉動 (帶有騷擾或威脅之意的遣詞用字、成人內容,以及共用敏感資訊) 的解決方案,也能提供可靠的指標,繼而防範可能的內部威脅。機器學習技術則能為特定文字或關鍵詞句提供更進一步的關聯性,從而加快調查人員的修復速度。
將資料策略自動化並予以整合
鑑於許多組織都不想受限於單一廠商,造成多數資訊安全長必須面對資料四散於地端和雲端儲存空間的困境。雖然笨拙、老舊的資料孤島已成為無可避免的事實,但如果未能將大量的「暗資料」妥善劃入敏感資料的範疇,勢必難以保護個人身分識別資訊 (PII) 或敏感企業 IP,並實作資料外洩防護原則。對預算錙銖必較的資訊安全長需要盡可能做出簡化,以運用完善的解決方案保護整體數位資產。良好的資料管理解決方案應該為使用者提供手動分類文件的彈性,同時讓系統管理員套用自動標記和受過機器學習訓練的分類器。
- 資料探索:員工不小心將客戶的身分證字號 (SSN) 儲存至未受保護的網站或協力廠商雲端一事,已成為司空見慣的情況。正因如此,建議您採取適用於 PII 等內容的資料管理解決方案,如此一來,就能透過內建的敏感資訊類型,以及一般資料保護規定 (GDPR) 和 1996 年美國健康保險流通與責任法案 (HIPAA) 等法規政策範本,自動識別敏感資料。由於敏感資料可儲存在任何地點,良好的解決方案必須使用自動化作業建立龐大的安全網,將地端、多雲、作業和軟體即服務 (SaaS) 等資料一網打盡。
- 資料分類:請採用已與常用應用程式及服務整合完成的整合式內建標記功能,好讓使用者能進一步自訂敏感性層級,進而滿足其特定需求。良好的解決方案應有能力在組織內進行自動標記並落實原則,進而加速推展企業規模的分類和資料外洩防護部署作業。此外,請尋求可識別地端、多雲和軟體即服務中找到的敏感資料,並著手加以分類的整合式資料管理解決方案,以建立完善的整體資料資產圖。
- 數據治理:對您而言,組織中的資料最好可供探索、值得信賴,並儲存在可提供現成保護措施的地點。如果資料留存時間超出所需,即有可能提高資料外洩風險。另一方面,過早刪除資料,則會讓組織陷入違反法規的風險。資料留存、記錄管理和機器學習功能可分類資料,並自動套用生命週期原則,讓上述問題迎刃而解,這樣一來,即可單獨保存所需資料並刪除不必要的資料,從而妥善管理風險及責任。
透過團隊合作來保護資料
任何資訊安全長的主要職責,在於保護組織內的 IP,例如軟體原始程式碼、專利設計、創意成果,以及可賦予企業競爭優勢的任何內容。不過,隨著海量資料不斷增長,以及法規標準持續改變,資訊安全長也需負責保護 PII、個人健康資訊 (PHI) 和付款卡業界資料等使用者資料。另外,隱私權法律也對內部和協力廠商的使用者資料應用、留存和地點施加了更多限制。
除此之外,混合式和多雲端服務往往會將資料的來源地點、儲存地點和使用者存取點劃分開來,而此舉也帶來新的挑戰。今日的資訊安全長需要與資料保護、隱私權、IT、人力資源、法律和法務遵循部門的同仁通力合作,這表示,您可能需要共同承擔資料長 (CDO)、風險長 (CRO)、法務遵循長 (CCO) 和資訊長 (CIO) 所肩負的責任。因此,請務必和各領域的高階主管妥善協調工作。畢竟,與其耗費重複的心力或互爭地盤,講求效益的資訊安全長應轉為採用整合式資料保護解決方案,才能減少潛在的冗餘情況,並確保整個資訊安全團隊採取一致的做法。
透過簡化來提高成效
我們深知,防火牆和周邊安全性方法已不符合現況所需。若要推動有效的零信任方法,就必須保護多雲和多平台環境中的資料。Microsoft 深信,組織需要更簡單的資料保護方法,正因如此,我們決定透過 Microsoft Purview 整合資料保護、治理和法務遵循功能,將先前的 Microsoft Azure Purview 和 Microsoft 365 合規性產品組合合併為單一品牌。
如果您是 Microsoft 365 E5 或 Microsoft 365 E5 Compliance 的現有客戶,請造訪全新登場的 Microsoft Purview 合規性入口網站,以深入了解當中的部分變革。如果您是現有的 Azure Purview 客戶,則請造訪新的 Microsoft Purview 控管入口網站。若要深入了解並開始使用,請造訪 Microsoft Purview 網站,或立即免費試用。
如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。
