為了有效保護機密,資訊長必須建立以人為本的安全文化,並建立自我修復機制,讓安全成為每個人的工作。
文/屠震
維持商業競爭優勢在很大程度上依賴技術創新,因此保護機密勢在必行。但這如何才能實現呢?答案在於「以人為本」。許多安全風險都是由有意和無意的洩漏造成的。令人驚訝的是,高達 70% 的安全事件是由於員工「無意」的疏忽造成的,並可能造成災難性後果。例如錯誤地分享機密知識,導致將公司關鍵資訊暴露給外部各方。
甚至許多「故意」行為的發生是由於現有的保護措施不切實際或安全工具過於繁瑣,迫使使用者尋找變通辦法。常見的範例包括共用個人工作帳戶或降低檔案安全等級。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
此外,有效的資料保護方案必須依賴人員對資料進行正確的標記或分類,而不僅僅是依靠 IT 或資訊安全團隊。
以人為本,事半功倍。以下是一些實用技巧:
- 建構以「關懷」(對公司)、「關注」(安全政策)、「參與」(報告和提供建議)為基礎的以人為本的自我修復型公司安全文化。在全球員工團隊或組織採用互助的鄰里守望計畫。鼓勵每位員工報告問題、提供建議並給予適當獎勵,以營造安全意識文化。
- 透過在各個業務部門內任命安全官員或安全和資料保護領袖(負責人),建立基層協作安全組織。他們可以充當總部安全團隊和本地使用者之間的橋樑,確保安全政策立足於真實風險,並且不會妨礙用戶生產力。
- 提高標準,實施既能提高安全性又能提升用戶生產力的安全解決方案。例如,考慮無密碼身份驗證、筆記型電腦硬碟塊級加密,以及具有預設分類標籤和自動加密的辦公室套件軟體。
總之,透過以人為本並實施以人為核心的安全解決方案,組織可以增強其資訊安全態勢,同時保持適應性、主動性和社群導向的能力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
