面對來自世界各地的資安威脅,許多時候企業對於強化資訊安全的要求,總是會過度強調在資安產品和技術層次上,因此很容易讓人誤認為資安都是資訊人員的工作,也就忽略了某些員工有意或無意的輕忽和不當的行為,往往也是造成企業發生資安事件的主因。
對大多數的資訊人員而言,定期地檢查確認防火牆和入侵偵測系統的設定,及時地安裝所發佈的系統更新,可能都已是被管理階層要求實施的資安控制措施。但是針對在辦公室環境週遭的工作桌面,還有會議室與擺放印表機的事務間裡,這些包含了許多敏感資訊的地方,卻缺乏了相對應的安全保護做法,如果又遇上了某些員工有不良的小習慣,就會產生不必要的資安風險。
基本上,在辦公室的日常作業中,不管是有意或無心的,難免會有一些影響資安的情況發生,為了降低企業的資安風險,建議應避免以下常見的不當行為發生。
不良小習慣之一:將密碼寫在便利貼上
隨著工作中需要使用的資訊系統愈來愈多,密碼也會像雨後春筍般不斷地冒出,對員工而言,要求必須依照公司的安全規定,設置一定長度以上且大小寫英文數字混合的密碼,然後再一一將之記住,恐怕已是一大挑戰,更何況對普通人來說,一旦時間久了之後會忘記某些事,也都屬於正常的現象。
所以,某些員工一方面為了要遵守公司的規定,另一方面又怕忘了密碼將影響到工作的執行,就會選擇容易又兩全其美的方式,也就是在設定了密碼之後,將它寫在黄色便利貼上,然後張貼在螢幕或鍵盤附近,這時如果有心懷惡意的人士經過,肯定會是一場大豐收。
對於這樣的情況,建議擁有多種資訊應用系統的企業,可以考慮採取單一登入的作法(SSO),以減少使用者需要記憶的密碼。如果不得已真的要將它寫下來備忘,建議不要記錄完整的密碼(可保留1~2位數),並且將它密封之後,存放在上鎖的抽屜或保險箱,以降低可能被竊取和遺失的風險。
不良小習慣之二:將業務機密遺留在白板上
在公司的會議室中,總是有著大大小小的專案會議,還有許多腦力激盪之後產生的計畫結果,這些和業務有關的機密,要是一不小心落入競爭對手之中,肯定會對公司造成重大衝擊,所以建議要求企業所有員工,在離開會議室時必須擦去白板上的所有資訊,預防有未經授權的人員看到這些資訊,這是企業務必要建立的安全觀念。
不良小習慣之三:將機密文件遺留在桌面上
許多員工在下班、出差或是休假而離開了辦公室之後,桌面上仍然會散落著各式各樣的工作文件,這些文件通常包括了客戶合約、報價成本、人事資料,還有管理階層的行事曆、業務計畫及客戶連絡資訊等。除了紙本文件之外,可能還有由公司配發的手機,可移動式儲存裝置(如USB隨身碟、記憶卡)等,這些都是容易被遺留而無人看管的物品,建議要求員工在離開公司時,必須要將機密文件收到上鎖的抽屜或檔案櫃之中,以避免商業機密的外洩。
不良小習慣之四:將門禁卡或識別證遺留在桌上
有些員工覺得隨身攜帶公司門禁卡或識別證實在很麻煩,所以喜歡隨手擱置在桌面上,除此之外,相關遺留物品還包括個人抽屜和檔案櫃的鑰匙。萬一門禁卡或識別證落入惡意人士手中,就能夠隨意地進入公司和敏感區域,若再有了鑰匙就更有機會取得內部的機密文件,因此建議企業應要求員工必須妥善保管門禁卡和配戴識別證,如果門禁卡或鑰匙不小心遺失了,也要立即通知相關人員來處理。
不良小習慣之五:將列印文件遺留在印表機上
有著公用印表機和影印機的事務間,往往是許多員工最喜歡出沒的地方,但有時敏感的文件如身分證影本,以及業務往來的電子郵件列印內容,也都很容易會被遺留在印表機或影印機上,所存在的風險就是除了未經授權的員工,也包括了維護和送紙的廠商,都有機會可以取得這些機密的文件。建議企業應指定專人來定期清查,如果發現了遺留的文件,就必須通知部門主管,要求相關人員進行改善。
以上提到的這些不良小習慣,其實都是可以被要求和矯正的,而且不會造成企業太多的成本負擔,只要企業制定並公佈相關的安全政策,定期對員工實施教育訓練與宣導,再配合不定時的實地檢視抽查,然後持續地追蹤改善,就可以大幅降低企業資料外洩的風險。
最後,需要提醒企業注意的,在部門主管或相關人員執行辦公區域安全檢查時,請事先取得管理階層的同意,也請不要任意動手去翻閱座位上的私人物品,以免侵犯了員工個人的隱私。
本文作者現任職外商企業安全官