【有心唔怕遲】四招解決內部洩密威脅

從事資訊安全工作十幾年，成日遇到企業客戶問應該如何避免數據外洩。其實不少調查報告都顯示，超過三成的商業機密外洩來自內部威脅（Insider Threat），無論有心或無意，都有可能對企業帶來重大影響。最重要的是這種情況並不是無法避免，而且也不是太難做添。一齊睇吓這個 to do list，大大減低機密外洩的風險！

育成安全意識

話明是 insider threat，首先要做的當然是提高老闆和員工的資訊安全警覺性！撇除專門偷資料的個案，其實好多時洩密者只是無意之下觸發事件，例如遺留無密碼保護的公司手提電腦在的士、在公共 Wi-Fi 下做公司事，又或是隨意打開有問題的檔案或連結，這些行為好明顯都是因爲缺乏安全意識。所以企業必須定期推出安全培訓，將有可能洩密的行為及後果清楚解釋，而不只是貼張禁止清單出嚟，大家先會上心。

限制存取權限

成間公司入面有多個部門，所需接觸的數據自然不一樣，例如銷售部不應該接觸人事部的檔案，IT 部門亦未必需要接觸報價單或財務報表，雖然開放了所有存取權限的確做少好多事，但就要犧牲數據安全性。最理想的做法自然是做好 data segmentation 或 privilege account management，分隔好不同的數據，以及為每位員工設定存取權限，就算其中一位員工的帳戶被盜取，都不會令全公司的檔案失守。當然為帳戶登入安裝多重因素驗證（Multi-Factor Authentication）就更安全啦。

強化數據保護

做好上面兩項措施，都不可以確保數據不會外洩，所以還需要保護好數據，例如要用硬件或軟件加密（Encryption）數據及數據傳輸，如果要將檔案抄離公司範圍，就要額外用密碼保護手提電腦或儲存裝置，就算遺失了都不易被破解。

321 備份

雖然做備份似乎不是好關數據外洩事，但考慮到現在的勒索軟件（Ransomware）在鎖死檔案前都會先將數據外傳，就算黑客破解不到你的數據，都會對企業造成沉重打擊。做好 321 備份法則，即是做三個備份、儲存在兩種媒體，以及儲存一個備份在不同地點，即使有天災人禍發生，都有好大機會保留到其中一個備份。