企業的安全支出與安全效益不成正比?透過「自我檢視」達成最佳資料安全實踐!

以現今社會而言,企業使用大量資料的現象已然成為常態,而儘管資料能為企業創造可觀的商業價值,我們仍舊不能否認資料很可能為其帶來驚人的損失。而面對與日俱增的資料安全問題,企業會選擇進行資安投資來預防威脅,然而,企業卻也常常面臨安全支出與安全效益不平衡的狀況。有鑑於此,為了幫助企業達成更好的資料安全實踐,本文將透過企業內部的自我檢視來洞察資安防護的不足之處,進而能加強企業的資安韌性。

企業如何在有限預算下面對安全問題?

企業常見的安全問題包括網路釣魚、勒索軟體攻擊和密碼外洩等,而比起資本雄厚的大企業而言,中小企業通常更為缺乏資源和經驗來應對這些顯著的安全威脅。事實上,根據 Netwrix 研究指出,50% 的小公司明確表示缺乏預算是他們面臨的最大安全挑戰,而如何將安全成本發揮最大效用便成為小型組織的首要考慮因素。

對此,尋求專業的資安服務能為中小企業減低資本壓力,因為這代表企業無需僱用額外的 IT 人才,還可以降低維護安全軟體的成本。而當企業面臨不斷出現的網路威脅時,他們更可以透過具有成本效益的試用方式來體驗更多元的資安服務。由此可知,安全投資是企業面對安全問題時的最佳解方。

採用零信任的企業比未使用零信任策略的企業付出少 20.5% 的資料外洩成本,顯示資安防護能協助企業降低資安威脅造成的損失。圖片來源:IBM 2022 資料外洩成本報告

安全投資與安全效益有所落差

如今我們處於巨量資料的時代,因此大多數企業會尋求專業的資安服務來鞏固企業資料的安全。然而,許多企業卻發現即使投注了可觀的安全支出仍然無法獲得期待中的安全成效。以下來看投資與效益不成正比的可能原因。

尚未跟進最新的資安防護趨勢

近年來,企業為了因應變化多端的網路攻擊而展現出高度的資料防護意識。然而,在眾多且繁雜的資安服務之下企業很可能無法顧及所有防護面向,導致即使投注了大量的資金也沒有掌握最新趨勢的資安防護。另外,企業也可能低估新型資安服務的效果而選擇不採用,或者因為習慣於公司固有的模式而造成內部的資安韌性仍顯不足。

投資理想與現實狀況存在差異

根據 Cognini 發布的資料安全報告指出,企業每年進行的資安投資可能高達 568 萬美元,更有 89% 的領導者因此認為內部已經部署了足夠的資安防護。然而,大多數決策者其實並不了解內部的真實情況,而 IT 部門也可能因為疏忽而沒有檢測到內部依然存在的資安風險,以致於企業的龐大安全支出無法轉換成期待中的安全效益。

企業資安實踐的必經過程:資安韌性的自我檢視

以下提供三個問題幫助企業進行資安韌性的自我檢視。

一、企業能夠保護機敏資訊嗎?

每家企業都擁有專屬的機敏資訊,而由於各種因素包括業務需求、企業聯盟等都會使得機敏資訊在內外部進行流轉,而那些不保護機密訊息的公司更可能會因此面臨資料外洩,進而導致可觀的財務損失和聲譽問題。由此可知,保護機敏訊息對於企業長期的資訊安全而言至關重要,而如何安全地共享公司資訊更成為企業的一大課題。

HENNGE Email DLP 透過簡易的客製化規則制定來協助企業審核郵件內容的機敏關鍵字,並透過自動化的附件加密功能保障機密檔案的安全。

二、企業能夠控制存取人員嗎?

員工有時候必須與組織內外部的人員交換訊息來完成工作,而這也意味著他們很可能在未經許可的情況下與他人共享公司資訊的存取權限。而為了確保公司系統的存取安全受到保護,企業必須了解員工正在存取哪些資訊以及他們如何與他人共享訊息,進而採取明確的管理政策來控制各類資訊的存取權限。

HENNGE Access Control 讓管理者能夠即時掌握存取人員的登入狀態,並能透過個別權限的設定來控制符合資格的使用人員才能存取,以此確保公司資訊的瀏覽受到企業管理者的全方位把關。

三、企業能夠檢測惡意軟體嗎?

根據 Trellix 指出,自 2023 年二月起針對台灣的勒索電子郵件數量明顯增加,而惡意電子郵件數量更是成長了 30 倍。一般而言,電子郵件通常是攻擊者散佈惡意軟體的關鍵管道,包括常見的網路釣魚、社交工程都會通過惡意軟體來讓受害者不經意地釋出敏感個資。由此可見,伴隨郵件而來的惡意軟體已造成企業不可忽視的資料安全危機。

HENNGE Cloud Protection 可以針對企業收到的電子郵件進行掃描,旨在偵測郵件內可能夾帶的惡意軟體,而一旦發現高風險的資料時便會進一步使用動態沙盒技術進行分析,如此一來能協助企業降低郵件產生的資安風險。

國際情勢加劇了以台灣為目標的網路攻擊,而惡意電子郵件的數量甚至在不到一週內激增至平時的四倍之多。圖片來源:Trellix
WRITTEN BY
Martina Chen