自去年營業秘密法修正案通過後,中華數位以顧問服務角色持續深耕機敏資料管理,發現企業對於外洩問題雖日漸重視,卻往往不知該從何著手。
中華數位企業資料保護研究小組專案顧問吳毅勛以某化工業客戶為例,該公司營運已近三十年,從未有資料外洩疑慮,近年來卻開始關注資料保護議題,主要是因為產業領域毛利下滑,部份上下游的夥伴如今成了競爭對手,陸續挖角內部員工,之後採以更低售價惡性競爭。由於公司從未有資料保護制度,即使被挖角的員工帶走重要資料也無從得知,如今為了保護公司核心價值,才開始導入建置管理制度與協助實施的工具。
 |
| ▲中華數位企業資料保護研究小組專案顧問吳毅勛指出,資料保護必須由顧問以中立客觀角度先行協助定義與盤點內部機敏資料,之後才得以據此擬訂保護政策,以及施行措施。 |
「本土企業經營最大的危機,就是員工攜帶內部機敏資料投靠競爭對手,或是惡意競爭,在客戶忠誠度較低的市場,這類狀況發生將為企業營運帶來高風險。」吳毅勛強調,以政策規範機敏資料的控管程序為首要之務,並搭配工具蒐集證據,才是有效的因應之道。
以中華數位提供的資料保護機制來看,基礎措施如DataSeal Endpoint搭配Content SQR網路內容控管,進一步是採以ALog Converter來執行檔案伺服器的存取記錄,及Mail SQR Expert、Mail Archiving Expert建置電子郵件管理與歸檔機制。更進階的數位權限管理(DRM)的文件加密,則較著重於金控業的資料保護需求。
至於資料外洩防護(DLP)的內容偵測機制,市場上幾乎都是外商的技術為主。由於DLP功能性相當完整,較適合千人以上的企業建置,且需要顧問介入協助盤點、定義機敏資料,之後才得以利用工具掃描發現存放位置,並部署控管政策,發揮防護效果。「但台灣建置DLP方式通常沒有搭配顧問服務,主因是需求者多數是為個資法建置控管措施,比對基礎較明確且單純,自行配置即可上線。只是DLP的技術能力是用來偵測高複雜性的機敏文件,僅用於個資比對不免顯得大材小用。」吳毅勛說。
就本土企業型態而言,強化預防性措施不失為較務實的作法。而中華數位亦結合旗下產品之力,整合郵件、網路、端點等管道的運用狀態,即將推出預警系統。已建置中華數位產品的用戶,可在預警系統上自行設定基準點(Base-line)參數,下一步還會持續發展學習模式自動建立。吳毅勛舉例,當員工存取檔案的行為明顯超出平日使用量,系統即判斷為異常,或者是網路傳輸量暴增,系統會主動發出告警,同時把該員工的權限先行停止。從使用行為著手,防堵可能的外洩事件發生。