國際信息系統審計協會(ISACA)日前發表最新的白皮書,指出在流動電子設備愈趨普及的同時,企業機密資料及知識產權透過手提設備外泄的風險亦會隨之增加。
ISACA發表的《保護流動設備》白皮書(Securing Mobile Devices),指出使用保安能力一般較有線網絡薄弱的無線網絡,會令資料被截取的風險大增。不論是智能手機、USB記憶體,甚至是智能卡,很多儲存資料的裝置均沒有加密,導致敏感資料容易被截取外,也會因手提設備被盜或遺失而易於被人取用。另外,由於員工會在受公司保護的網絡範圍以外使用流動設備,所以這些器材也容易成為惡意軟件攻擊的對象。
《保護流動設備》白皮書指出,由於企業對流動設備的使用缺乏監管,加上愈來愈多員工以個人設備處理商務,因此均加大了流動設備可能帶來的潛在風險。
專門研究私隱保安與資訊管理的調查機構Ponemon Institute則發表報告指,研究中32%的資料侵害個案,與手提電腦或其他存有資料的流動設備被盜或遺失有關。報告顯示,資料被盜平均會令一家機構損失高達340萬美元。研究亦發現,所有調查國家在涉及流動設備所引起的資料盜用方面,計算的損失金額均明顯較高。
「流動設備愈趨普遍,使用率亦不斷增加。但此等設備,如USB 記憶體以及智能卡,一直以來,以及將會繼續是不同類型保安事故的源頭。保安經理需要考慮到如何管理流動設備的相關風險。設立具透明度、靈活及可行的政策,保障流動設備使用安全,將有助管理層保護知識產權及維持競爭優勢。」ISACA中國香港分會會長翁偉基表示。
管治架構如COBIT(信息及相關科技監控目標)或 Risk IT(信息系統風險架構)有助企業清楚了解政策改變及順利推行政策,並確保應用合適的保安水平以防止資料遭侵害。
ISACA倡議在制定流動設備策略時,可以考慮到以下問題:
界定可使用設備種類 (企業提供的裝置相對個人裝置)
界定流動設備的服務範圍
確認員工使用流動設備之方式及用途,同時考慮機構企業文化,以及人為因素。(舉例來說,十個美國人中,便有一人會使用公司流動設備,於假期季節時期進行網上購物*)
將所有企業提供的設備納入資產管理計劃
為流動設備必須安裝的授權及加密的模式制定清晰指引
闡明如何安全地儲存及傳送資料
「雖然流動設備已成為提升效率、生產力及加強商機的催化劑,但要知道的是只有企業有效管理技術應用─包括相關價值及風險,方能得益。」翁偉基續稱。
【編輯觀點】:作為一個新的資訊安全漏洞,用家既已知道風險存在,就應提高警覺,小心處理流動儲存記憶體及流動智能設備。
流動設備為保密資料帶來巨大威脅
