3 月 31 日這天被訂為世界備份日,距 Covid-19 帶來史無前例的大規模封城已過去了兩年,我們正好能好好檢視企業是如何面對疫情造成的資料保護難關。
儘管時逢困境,封城也確實加快了遠端工作的普及與數位轉型的速度 - 這衍生出新的問題,同時也帶來了許多優點。許多人意識到,在舒適居家環境中也能認真工作的現實創造了更具彈性的工作環境,尤其是那些負擔照護責任或住處離辦公室遙遠的人們。
遠端工作也在數位領域開花結果,最顯而易見的莫過於加速數位化,以及藉由科技解決方案與數據應用發展出新的工作機會。然而,為了建立起數位信任度,組織得一一克服多道重要難關:
關卡 1:企業數據保護
若員工、數據和硬體設備都能在實體建築物或特定數據中心內妥善保存,則企業數據防護作業的難度便能降低許多。過去兩年來,企業環境的定義已經拓展到住家,包括家用網路及個人數位裝置。
為了能迅速地讓全球各地的勞動力展開遠端作業,企業數據的安全性在某些情境下只能成為次要考量。當充滿破綻的家用網路與智慧型裝置成為辦公室應用架構的一部分,如此企業網路所面對的威脅層面便進一步擴張,使得事前再怎麼完善的風險評估也難以估量。
因團隊溝通及視訊通話需求,線上協作工具的需求激增,這也帶來另一項風險。動動手指便能參與會議,使員工產生安全無虞的錯覺,並沒意識到本身的機器或網路會遭受勒索軟體攻擊的可能性,而導致公司與企業資料曝露在危險之中。
關卡 2:保護員工隱私
針對目前轉為在家工作的員工(多數案例是住家臥室)而設計出他們所需要的隱私防護是最主要的難題,至今這個難題仍然無解。確實,BSI 最近在 LinkedIn 上進行投票調查,有 22% 的受訪者表示,侵犯員工隱私是組織在數據方面仍在犯的最大錯誤。[1]
安裝侵入性的員工監控工具,如鍵盤側錄軟體、截圖或視訊監視平台,允許監控行為都有可能增加侵犯隱私權的案例。IT設備內建的攝影機和麥克風也可能涉及隱私侵犯,從住家環境、其他人員與孩童資訊的取得,到有關個人健康與福祉的視聽線索等,而通常情況下,雇主不會接觸到,也沒必要收集或處理。
關卡 3:管理敏感數據
不論有心或無意,疫情期間都有大量的員工敏感資料被收集。一般而言,只要是與族裔或種族出身、政治觀點、宗教或哲學信仰、工會成員身分、基因或生物特徵、健康或性傾向相關的資料,都會被認定為敏感資料。世界各國亦立法針對此類型的資料加以保障,像是英國與歐盟的 GDPR(一般資料保護規範)。
監控工具的應用、遠端工作時進行員工調查、在公司內部進行 Covid-19 感染比率、員工健康狀況(包括先天免疫不足的員工)的普遍監控,而導致許多組織在取得敏感資料的同時,卻沒有安全的基礎架構加以保管,或是以妥善的隱私防護對策來降低風險。這仍是許多組織的主要軟肋。同一份調查中,有 27% 的受訪者表示,草率操作敏感資料是企業在資料領域仍會犯下的最嚴重錯誤。
從數據韌性吸取教訓
絕大多數企業組織目前都竭盡所能,面對遠端工作衍生的數據難題,同時在此過程中吸取教訓;但是同一份資料管理議題的調查顯示,缺乏對於雲端運算的認知(29%)及資料安全非董事會的優先考量(21%)依然令人憂心。想改善這些問題,數位信任必須是企業策略的優先考量,組織內部的各個層級人員都必須接受科技教育課程,學習最理想的數據處理方式。
在政府強制全面封城的情況下持續進行商業營運,意味著以往需耗費數年時間才得以採行的決策,現在則以飛快地速度進行著;因為企業改走遠端工作路線,但卻經常未將必要的數據含義納入考量。隨著各大企業逐漸重新站穩腳步,現在是針對問題對症下藥的大好時機,實行真正可靠的數據保護政策。
首先是針對整個架構進行全方位風險評估,從網路安全到員工隱私等領域,包括敏感資料、跨境數據傳輸與數據在地化。這個關鍵步驟能協助組織認清他們在數據管理上哪一個面向處置得當且找出弱點,便能更輕易地將風險降到最低。為遠端連線做好應有的防護措施,並協助遠端工作的員工強化安全政策後,員工本身也會更加瞭解最理想的數據處理方式,以提高個人與企業數據的安全性。
鑑於企業日常營運所產生的數據量龐大,許多組織正操作大量的工具與設備,想弄清楚從哪裡做起可能很困難。安全與隱私規範條件應該根據風險基礎方法來進一步修正,決定最顯而易見的優先事項,對症下藥,以求在有限的資源內取得最大的成果。
找出弱點或敏感資料集(含個人與商業資料),其保存與使用方法可能就是需要優先改善的項目。要求員工交出疫情相關的資訊看似是很合理的要求,如確診檢測結果、疫苗施打狀態,但是企業蒐集、保存並使用這種具備時效的非永久性資料仍然不甚合理。隨著疫情逐漸恢復常態,企業必須重新評估哪些敏感資料有保留的必要,並且可以安全地保存以供必要場合使用。
最後,同樣重要的是教育訓練優先。這意味著時時提醒員工最好的資料處置方式、為管理階層和企業領袖規劃有意義的重要教育訓練、將數據議題排入董事會議程。最理想的作法是,全部同時進行。數位信任是在定期教育訓練與政策重新評估下,上下往返、交相建構而成。
許多組織在採行遠端工作模式後才開始針對潛在的隱私和安全問題進行風險評估,而採取這種作法的組織都為此規劃了降低風險的對策。跟疫情剛爆發的前幾個月相比,這些企業顯然都已經有更可靠的數據處置方式。但是在這個時間點加深對於這類風險的理解,組織將有機會進一步延續並擴張其數位信任度。
世界備份日正好是重新評估數據管理安全性有多麼重要的好日子,藉此更上一層樓,為自己的企業打造出更穩固的數位信任。
* BSI 於 2022 年 3 月 10 日到 24 日間,在 LinkedIn 上進行意見調查,有 433 人投票。調查問題為:「封城至今兩年,在遠端工作大量普及化的今天,請問您認為組織在資料領域仍會犯下何種最嚴重的錯誤?」答案如下:缺乏對於雲端運算的認知(29%);草率操作敏感資料(27%);侵犯員工隱私權(22%);資料安全並非是是董事會的優先考量(21%)。
