供應鏈資訊安全
供應鏈資訊安全除了防範駭客對整個製造鏈進行破壞之外,供應鏈之間的資料傳遞後,是否每個節點都有執行完善的防護措施,這其中就包含是否有善盡責任的保護上下游廠商交給你的資料,除了制定資安規範以外,X-FORT這類的工具亦可協助保護廠商提供的資料。
教育訓練與規範
公司應定義保護客戶資料不被外洩或不當利用,對員工實施資訊安全教育訓練,例如規範收到廠商的資料後,資料須放置在特定地方,列印廠商提供的資料需要強制加上特定的浮水印,列印出的紙張不可隨意攜出或規範只能放在特定地方,資料用過後是否進行銷毀,資料寫出到外接碟需要主管審核、禁止透過IM軟體把檔案傳出…等等實際規範,有些較嚴格的廠商本身就會請協力廠商進行資安風險評鑑,並要求協力廠商制定資安規範,這在供應鏈資訊安全中是很重要的。
同時在對內部員工實施資訊安全教育訓練時,可把保護供應商資料加入教育訓練章節裡面,搭配制定的資訊安全規範一同宣導執行。
基本防護不能少 (OS更新、資產管理)
保護廠商、客戶的資料不被外洩與不當利用,基本的資安防護不能少,除了公司內部防駭的資安系統外,重點還是在端點電腦的基本防護,例如:修補作業系統漏洞的Hotfix更新,安裝合適的防毒軟體或EDR、DLP等防護工具讓資安政策得以順利運行。
對於公司內部的IT資產進行盤點管理,淘汰已過時的系統或電腦,比如微軟已經不維護的OS(Windows 7/Windows XP),盤點出哪些電腦有安裝IM軟體或者有資安疑慮的軟體,必須加以管制或清除,在沒有完善的雲端資安防護前,非必要不購買全雲端版的軟體,例如Office 365,杜絕資料不落地的風險。審慎評估與建立安全機制後,才可有效利用雲端的便利與兼顧安全。
出口端管制降低可能外洩的管道
每台會處理或運用廠商資料的端點必須對於可能造成資料外洩的管道進行管制,出口管道又分實體管道與網路管道
- 硬體出口:外接碟、智慧手機、印表機、燒錄機
這些管道謹遵「原則禁止,例外開放」,所以這些可能造成資料洩漏的實體設備原則上一律禁止。有需要使用,則提出申請開放使用,若有從電腦把資料寫出到硬體設備上皆有寫出記錄備查。
- 網路出口:軟體建立連線就是網路出口的一種,例如Microsoft Office 就可把檔案直接存檔到雲端空間,IM軟體上傳檔案、雲端硬碟、Webmail…等等都是資料網路出口的大宗,這些會造成資料外洩的出口依舊是原則禁止例外開放,有需求的人自行申請開放,所有的上傳行為必須被監控,甚至備份(Shadow)傳送出去的檔案。
加密限閱機制,避免非專案成員閱覽
對於會碰觸到廠商資料的用戶電腦,可考慮導入文件加密機制,讓電腦裡特定資料夾或者特定文件被加密,甚至整台電腦的文件都進行加密,並實施加密文件分類,讓專案文件只允許專案相關人員閱讀,避免非專案成員閱覽,加密的好處就在於,即使文件被帶出,也無法開啟,只能在公司特定電腦或特定人員才能開啟閱覽,若電腦不幸中毒即使電腦裡面的機密資料被駭客偷走也會增加駭客破解加密文件的難度,降低資料被竊後外洩的風險。