全球防毒軟體大廠賽門鐵克 (Symantec) 與 Ponemon Institute 共同發表一份針對全球資料外洩 (Data Loss) 成本的調查報告:2013 Cost of Data Breach Study:Global Analysis。

報告指出,2012 年的資料外洩事件中,有 2/3 是人為疏失與系統故障所造成的,而每筆外洩資料的平均成本為 136 美元。

導致資料外洩的主因包括員工不當處理機密資料、缺乏系統控管,以及違反產業與政府法規。其中,醫療、金融及製藥等高度嚴格法規的產業,其資料外洩的成本較其他產業高出 7 成。

因此,企業的 IT 部門應該注意,不該犧牲企業營運資料的安全性來換取作業的效率與節省資訊預算

依據德州大學 (the University of Texas) 所做的一項研究顯示,有接近 43% 的企業因遭受嚴重性的資料外洩 (catastrophic data loss) 而導致無法持續營運,另有 51% 的企業則在事件發生後的 2 年內歇業。

  • 忽視硬體故障所造成的影響

硬體故障 (Hardware Failures) 是資料外洩的主要原因。雖然大多數的 IT 從業人員都十分重視備份系統,但他們可能會忽略一個事實:企業內部的備份媒體在某種程度上存在著頗高的備份失敗率,如磁帶、SAN、NAS 等設備。

為了降低硬體故障的風險,可以將企業的營運資料從主要儲存設備 (Primary Storage Device),轉移到次要儲存設備 (Secondary Storage Device)。

目前,隨著磁碟容量的提升與成本下降,磁碟對磁碟備份 (Disk-to-Disk Backup) 的方式越來越受到重視,在備份還原速度與可靠性也都優於磁帶備份方式,但,企業應該採取哪種方式備份,仍然要視企業內部的預算、規劃與法規而定。

  • 人為疏失是最難預防的一環

一般來說,企業內部的員工不會總是完全遵循公司所制定的政策,即使是紀律嚴謹的企業,營運上的疏失總是在所難免。

預防人為疏失最好的方式是採取自動化 (Automation) 作業和保留 (Retention) 作業。自動化作業,能夠自動且完全依循企業的政策與程序進行運作;保留作業,則能在資料外洩事件發生後,在最短的時間內復原資料。

  • 低估網路罪犯的偏執心理

目前,大多數企業都部署了基本的資訊安全解決方案,像是防火牆 (Firewalls) 和防毒軟體 (Anti-Virus Software),這些都能用來抵禦惡意程式 (Malware)。但是,網路罪犯用來破壞傳統網路安全防護系統 (Cyber-defenses) 的手法也愈來愈多變 。

IT 從業人員應該評估他們的資訊基礎設施,進一步識別出系統的漏洞 / 弱點 (Vulnerability) 所在,並採取更進一步的安全解決方案來防禦與克服惡意的系統程式與網路攻擊。

可行的解決方案包括網路偵測軟體 (Web Monitoring Software)、終端設備管理的防護 (End-Point Protection) 以及應用沙盒 (Sandbox) 技術來分析系統是否遭受攻擊。

從備份的角度來看,將運行備份 (Operate Backup) 與災難復原方案 (Disaster-Recovery Solutions) 等資料存放在 Non-Windows 系統上不失為一個好方法,因為 Windows 系統是網路罪犯最喜歡攻擊的目標之一

  • 凡是可能出錯的事,必定會出錯

儘管資料外洩的事件頻傳,仍然有不少企業沒有規劃災難復原計劃,以防止人為或自然災害發生時,能在最短的時間內讓企業恢復正常運作,並降低企業營運的損失。

另外,有些企業只是將災難復原計劃視為一種「文件作業」,因此,只是制訂了通用指南,好像不管發生什麼事件都可以用同一套方法來處理。這實在是一個錯誤的觀念。

一份完善的規劃災難復原計劃,會集中在人員,基礎設施和流程上,並清楚地描述了不同的災難情境所可能造成的影響。一般包含了待命站台的支援、可用資源的備份、復原系統所需資源、程序的建立與人員的事前訓練等。

  • 務實的災難復原計劃勝過取得一堆驗證

災難復原計劃執行上的缺失,或以非經常性的偶發事件來測企業資訊安全防禦作業失效,都顯示目前的環境會讓企業的營運資料在災難發生的情況下,造成資料外洩的的風險。

由於企業的營運資料每天都會增加,因此完善的系統測試計畫就顯示非常重要,最好能夠設計一份「查核表」並定期做安全上的檢測與災難復原演練。

(資料來源:SymantecMashable;圖片來源:handi-lee, CC Licensed)