現時網絡世界之中,最有價值的不是平台本身,往往是平台所收集到的個人資料才是最有價值,因此大家不難發現黑客們的每一次行動或多或少都與偷取數據庫客户個人資料有關。
而作為企業之中的資安人員,你絕對有責任為企業制定好一套有效的資安政策,儘管有些時候,企業內部所收集的客户資料保護政策是律師們的工作範圍,然而對於從事資安的 IT 人員來說,其實亦有責任從 IT 角度出發去配合公司就個人資料保護政策的相關法規落實。
因篇幅所限,本文只從 IT 的角度出發作簡介,至於所在地區就針對個人資料保護的相關法律條例,本文將會一一省略,這方面需要大家自行研究。
規劃個人資料保護政策流程(略)
當公司的法務人員已就所處地區的相關法例進行研究後,公司的決策人便會與法務人員定義出那一些收集回來的資料是屬於政策內所包括的個人資料部份,然後便會制作出大家常見的收集個人資料聲明或私隱政策聲明,當中主要會列出收集目的、個人是否有責任或可自願提供其個人資料、資料轉移等等…. 接著便是指派特定人員管理這些收集回來的資料及進行必要的安全防禦工作,一般來說這部份會是 IT 資安人員的工作。
首先就是制定宣傳及教育大計
世界上最厲害的往往不在於防禦方案有多強大,反而是人本身的安全意識控制了一切,提高員工的安全意識,比起部署數十萬的安全方案更有效!所以首要進行的就是針對員工提供培訓及宣傳,以提高他們的危機意識。
就好像於上一篇文章便提到採用滲透性攻擊或製造虛假攻擊以看看有多少員工「中招」,及後便可輕易揪出欠缺危機意識的員工,並針對他們進行培訓或作出一定的處罰,只要持續進行這些虛假的攻擊,對於提高員工的安全意識將會有很大的幫助;其情況就好像警方會定時於某些位置部署鐳射測速一樣,久而久之即使警方沒有進行測速,但大家仍會慣性減慢車速以避免可能出現的鐳射測速,這方法作用非常明顯,如果公司本身允許的話,可多多採用此方法。
個人資料檔案類型及安全風險評估
除了教育員工外,資安人員亦可針對常見的,用於儲存個人資料的檔案格式建立出一個表單,然後就每一種檔案格式進行風險評估;這方面大家可採用坊間一些公司提供的服務,這些公司可特別針對網站系統所收集的資料類型進行掃描,並針對如 CSV、HTML、EML、XML、ZIP、RAR 等等… 提供風險評估報告,從而確保網站所收集的個人資料及流程的安全。
然後大家可參考就以往由安全廠商、媒體等收集到的資安報告,從中就自己所理解到的資安威脅初步地進行考慮,例如可考慮一下個人資料檔案可能會遭到那種攻擊、威脅?整個流程之中有沒有你理解到的弱點位置?以及評估國際形勢後,你認為發生事故風險及可能性等。
制定保謢策略
然後,便需就風險評估的結果制定個人資料保護策略,例如:
1. 可與管理層商討,是否可減少收集資料的範圍,例如只收集客户名稱、電郵、地址而不收集電話等?事關所收集的資料愈多,將來發生事故時便需負上更大的責任。
2. 考慮在事故發生後,應如何盡量避免出現訴訟情況?這方面可由法務人員負責。
3. 為儲存的資料進行必要的安全措施,例如為資料進行加密,採用一些方案如 DLP、DDM 以盡最大能力防止客户資料因員工不小心而外洩,萬一發生事故時,這些措施便能協助企業減少賠償,並且可向外界顯示出企業已盡了應當的責任。
4. 企業可考慮部署一些像是 SIEM 一類的方案,從而可從最基本的系統 Log 監測資料外洩的痕跡。
不停完善政策
當大家完成了政策的制定後,便需要持續完善政策並升級 IT 方案以確保整個政策得以最有效地落實及執行;儘管在香港的公司之中,可能並非如國際大型企業般擁有十數人的團隊專門針對個人資料安全而進行專門的跟進及處理,不過隨著整體市場需要及用户對個人資料的重視,未來香港必定會出現更嚴格的個人資料處理相關條例,面對這趨勢,大家是時候作好準備,從而令企業不至於因資料外洩而造成形像受損。
企業應如何制定個人資料保護政策?
https://www.facebook.com/hkitblog