別讓資安政策虛有其表
企業使用裝置加密技術行之有年，但有趣的是隱私暨資訊管理研究機構Ponemon Institute最新研究指出，現今有越來越多企業在其組織內使用加密技術，但是資料外洩事件反而變得頻繁，而導致的相關成本也隨之增加。因此，大家會懷疑裝置加密技術或產品對防止資料外洩真的有效嗎？這個問題的癥結恐怕是企業資訊安全政策有沒有「對症下藥」。

前陣子英國資訊委員會辦公室(British Information Commissioner's Office)發出新聞稿，解釋一起英國康橋郡議會(Cambridgeshire County Council)資料外洩事件。康橋郡議會基於資訊安全考量和員工日常作業所需，為員工提供已加密的隨身碟作為公務用途。但當一名員工使用已加密的可攜式儲存裝置時遇到困難，於是該名員工便改用私人的隨身碟存取資料。後來因該名員工不慎將隨身碟遺失了，而導致了一樁資料外洩事件。

類似的事件很有可能發生在任何一個企業中，也讓我們省思一個很重要的問題——企業光有資訊安全政策或者購買了加密技術，並不足以確保資料保護得當。很多企業的資訊安全問題，其癥結在於如何加強落實資料加密政策，同時不會為使用者帶來障礙。

雖然不清楚那位員工在使用已加密的隨身碟時遇到了甚麼問題，但不難想到有可能發生的狀況，例如該隨身碟裝置是否可以在不同的電腦上執行？是否會改變原本的開啟與儲存檔案等作業方式？是否可在不同的作業系統上運作？如果忘記密碼是否可復原？這些問題也延伸出加密裝置的功能與加密部署基礎的管理問題。以上各種考量面向，如果無法符合員工的實際使用行為，則很有可能發生類似英國康橋郡議會資料外洩的事件。

另外，這事件的第二個問題是企業有沒有充分的技術支援，以確保資訊安全政策在執行過程中得以全面落實。即使企業的資訊安全政策明文規定員工應使用配發的加密裝置存取資料，卻沒有實質的機制來協助全面執行，在這種情況下有再多的加密裝置與安全政策皆是徒然。一套裝置控管解決方案，便可以協助企業掌握特定電腦系統上裝置的使用狀況。裝置安全政策可明確規定並管理僅有企業提供的加密裝置可在企業的電腦上運作，真正落實企業資訊安全政策。

其實，這裡討論的不只是企業要明文規定資訊安全政策或購買加密技術來達到資訊安全防護，而是要在組織內慎重宣導資訊安全政策的重要性，讓員工真正了解安全政策的意義，並在技術支援上落實能確保達到安全政策目標的最有效作法，才能在今日行動裝置大行其道之際，防止內部資料在不當的傳送或存取，讓企業機密資料的安全真正達到裡外防護，滴水不漏！



-----

吳傳輝現為賽門鐵克台灣區總經理