本文作者∕楊博裕,國際電腦稽核協會(ISACA)資訊風險治理諮詢小組委員及證照命題小組委員
當武漢肺炎(COVID-19)從區域性逐漸轉為全球性危機,境外移入與社區感染成為組織營運持續管理真實與迫切的危機時,身為資訊長、資安長、營運持續管理負責人, 如何帶領組織超前部署,然後制定疫情風險等級,依照疫情風險等級輕重,啟動辦公區域入口體溫與消毒管制、上下班時間分流、作業分流(Split Operation) 、異地作業(BCP Site)與在家工作(Work from Home)等方式,降低病毒對人員可能的感染與對組織持續營運的影響成為當務之急。
由於包含台灣等亞洲國家,由於國情與文化的不同,對於「在家工作」模式較為陌生,本文指在介紹「在家工作」可能的資訊與網路風險,並針對這些風險提供相對應的管理措施。
「在家工作」的迷思
面對疫情急遽升高的心理壓力,當許多公司在做出「在家工作」的決定時,並不是出於「選擇」,而是出於「被迫」。
多數組織針對營運所設計的流程,經常是針對組織辦公位置,設定員工在組織所安排的地點辦公。多數的營運持續計畫設計,也多選擇以組織規畫的辦公地點(含異地作業地點)為優先考量。
而當面對社區或群聚感染壓力時,組織不得不減少人與人之間社交距離,以抑止疫情在公司內部擴散、降低組織內部員工被傳染的風險,而優先考量將非關鍵作業員工(non-critical employees) 、業務無須面對客戶員工(non-customer facing employees) 、以及已懷孕或懷孕及餵哺母乳員工在家工作。
然而在亞洲文化下,多數組織對於開放「在家工作」持保守態度,這是因為高階主管或者人力資源單位所關注的風險,往往放在員工在家工作時的「工作績效」與「出勤狀況」風險,因為高階主管或者人力資源單位擔心在缺乏適當管理機制下,員工在家工作容易怠惰,而忽略在家工作時的「資訊與網路安全」風險也是一樣重要。
適合在家工作族群
「在家工作」應該納入於組織營運持續計畫(Business Continuity Plan,BCP)之中,做為緊急應變的選項之一,營運長、資安官、或營運持續管理負責人在研擬組織營運持續計畫時,應召集並要求各單位業務代表,根據其業務屬性與工作內容,決定那些員工適用於在家工作的選項。
考量適用員工適用範圍時,應考量下列(但不限於)幾點。首先,考量「非關鍵作業」且「業務無須面對客戶」的員工,非關鍵作業因產業或業務性質而不同,因此需要由營運長、營運持續管理負責人、與業務單位主管討論與定義。
以人力資源單位為例,人力資源單位內通常有招募任用、教育訓練發展、薪酬管理、績效管理及員工關係管理,主管可依照業務屬性進行安排,像是疫情蔓延時,需要擴大社交距離減少人與人接觸,會減少面對面的教育訓練,因此可考量讓負責教育訓練發展的同仁在家工作。其次,「已懷孕或懷孕及餵哺母乳」員工,為預防母體接觸病毒,而將病毒傳染給胎兒或嬰兒,基於組織員工關懷立場,懷孕或懷孕及餵哺母乳員工在不影響業務正常營運下,應優先列於「在家工作」清單。
在家工作風險為何?
在家工作應該考量的的風險有下列八類,首先,「員工竊取組織資訊」,若缺乏適當管控機制,員工可利用「在家工作」的機會竊取組織資訊,例如將敏感的公司資料下載或保存到其個人電腦、攜帶式儲存裝置、雲端硬碟等,或將資料發送到個人電子郵件帳戶。
再者,「未妥善保管組織資訊」,員工未妥善保管從辦公室攜出的列印文件、檔案儲存裝置(如USB隨身碟、外接式硬碟)、或資訊設備(如筆記型電腦、手機);又或於電話討論公事,未留意周遭環境,無意間洩漏與業務不相關人士,以至於資料遺失或外洩。
第三點,「不安全網路連線」,若員工透過不安全的網路連線存取組織系統∕資料,資料傳輸過程中資料可能被截取,且資料遭到篡改的風險也會提升。
第四點,「不安全交換訊息管道」,員工透過非公司提供或核准批准的通訊工具(簡訊、LINE、WhatsApp等)溝通業務機敏資料或非公開資訊,資料傳輸過程中資料可能被截取,而致資料外洩。
第五點,「釣魚郵件∕釣魚電話攻擊」,疫情蔓延期間,網路釣魚郵件∕釣魚電話風險將會升高,因為網路犯罪者偽裝成同事、合作夥伴、朋友、家人等用戶信任的來源,例如:資訊單位、人力資源單位、高階主管、新聞媒體、衛生組織等進行攻擊。
釣魚郵件的寄件主旨則用:冠狀病毒疫情、冠狀病毒防範方式、拯救疫情慈善活動、資訊技術支援等,利用人性的弱點(如信任感,恐懼感,服從權威等),誘使收信者開啟郵件,並點選郵件中含惡意程式的附件檔案或網路連結,藉以竊取使用者帳號、密碼、甚至於組織或個人擁有的敏感資訊。而釣魚電話則是會設法透過社交工程,取得組織內員工聯絡方式、偽裝的工作指示、或要求員工提供組織內部資料等。
第六點,「資訊基礎建設不足」,既有資訊基礎架構,沒有辦法支撐疫情期間,「在家工作」者大幅增加而伴隨的遠端存取的流量超過負荷,影響系統效率。而為儘速解決基礎架構的問題,所提出的解決方案,若沒有進行適當的風險與弱點評估,將可能會產生漏洞,引發網絡威脅。
第七點,「未妥善評估例外情形」,部分員工因業務性質特殊(如理專、交易室、研發人員等),可接觸客戶個人資料或組織敏感資料,不應開放在家工作。惟疫情影響,開放此類員工在家工作前,未經妥善評估必要性與相關管控措施有效性,將增加資料外洩風險。
第八點,「員工生產力下降」,員工在家工作因馬虎行事、玩忽職守,或擅離工作崗位而影響到工作生產力與工作品質。
如何管理「在家工作」風險?
組織要降低的「在家工作」風險,必須事先規畫相對應的減災方式或管理手段,目前大致可分成下列十點來看。
首先,「以週期為單位」,若組織無法掌握員工動態,將影響營運持續計畫有效性,因此在家工作安排至少持續1到2週,而不是當日安排。
另為協助單位主管與營運持續管理單位有效掌握員工動向,建議所有員工應每週定期向單位主管或單位負責人通知次週工作模式(如辦公室工作─若分散辦公者,請說明地點,在家工作,特休假,病假等),再由各單位彙整與營運持續管理單位。另,員工禁止在公共場合(例如咖啡店或大眾運輸工具)工作,以防止資料遭他人窺視或竊取。
再者,「設定工作目標與完成期限」,亞洲文化對在家工作最大的阻力在於擔心員工馬虎行事、要玩忽職守、或擅離職守而影響工作生產力與工作品質,要解決這方面的營運風險,於啟動在家工作之始,主管應該與員工充分溝通待辦事項清單及完成期限,確認員工瞭解主管期待與要求。而主管應定期(至少一周一次)與團隊成員進行電話會議,以了解同事的身體狀況與工作進度。
第三點,「使用安全的網路連線」,員工在家應透過信任且安全的網路連線(如家用網路或透過個人手機熱點分享)來存取組織內部網路系統或資訊,員工禁止使用未受信任的網路(如公開或免費)網路連線存取組織內部網路系統或資訊。另,若組織有建置VPN,應限制員工必去透過VPN認證後,使得與組織內部網路連線。
第四點,「檔案∕資料傳輸保護」,員工傳送敏感資料檔案(例如、人事記錄、醫療記錄、財務記錄等)時,應於傳輸檔案前,依照組織資訊與網路安全管理規範要求,對檔案進行適當加密保護。
第五點,「資料外洩防護機制」,確保資料外洩防護機制(Data Leakage Protection)已安裝於在家作業員工資訊設備,防止組織資料或檔案於員工在家工作期間,遭員工下載或儲存於員工個人儲存設備或雲端硬碟。
第六點,「安全性修補與防毒軟體病毒碼更新」,確認所有應用程序和作業系統已安裝至最新版本安全性修補程式等級,防止駭客利用未修補的弱點進行攻擊;另,資訊系統防毒和防惡意軟體已更新至最新版本病毒碼,已防範病毒或惡意軟體攻擊。
第七點,「安全訊息交換管道」,要求在家工作員工僅能使用公司提供或核准的通訊工具(電話,企業版通訊軟體,企業電子郵件等)進行溝通;另,公司應提醒員工,勿在通訊軟體上,談論或交換組織敏感資訊,以避免資料外洩。
第八點,「保持警覺」,防疫期間,電話釣魚與電子郵件釣魚郵件攻擊會增多,要求員工保持警覺,勿點選來路不明郵件所附連結或檔案。對於疑似釣魚郵件或釣魚電話,員工應立即通報相關業務單位進行阻擋與調查。另,在家工作,仍應謹守組織桌面淨空原則,妥善保存組織提供的資訊設備與資料,也避免與家人或朋友討論工作內容,以避免資料外洩。
第九點,「重申資訊與網路安全管理相關要求」,啟動在家工作時,組織需要重申在家工作資訊與網路安全管理相關要求(範例一),並定期(每1~2周)透過官網、電子報、或電子郵件,向員工溝通防疫期間員工應注意的相關資訊(範例二)。
第十點,「在家工作環境符合職場安全與工作需求」,在家工作地點,應符合職場安全要求,例如辦公位置需要有充足照明,且桌椅與螢幕高度應該以舒適安全,避免不舒服或不安全的工作環境影響員工效率與健康。若因業務需求,需要進行電話會議時,應確保足夠的隔音以避免噪音影響電話會議進行。
疫情帶來的營運模式改變
科技的進步,像是網際網路,電子郵件,網上會議及視訊會議(如Webex、Zoom)、團隊協作平台(如Microsoft Teams)等,讓工作再也不需要面對面才能完成,身處各地的團隊成員,仍然可以透過不同的科技產品一同合作,完成目標。
當武漢肺炎從區域逐漸向全球蔓延,可以看到跨國企業(如Google、Amazon)陸續啟動在家工作機制,以將病毒傳播的風險降到最低,同時也避免造成營運中斷的風險;更甚者,在亞洲部分國家的跨國企業,也已執行在家工作逾一個半月。在家工作已經從營運持續計畫上的名詞,變成組織營運的一部份。
從這樣經驗來觀察,若組織可以有效的規畫在家工作的模式,以及妥善評估在家工作的風險並管理這些風險,事實上,在家工作與員工生產力及工作品質並不會相互衝突。另,過去的歷史也告訴我們,每當歷史上有重大的事件(如美國911事件或SARS),將會對組織營運模式帶來重大的改變與影響,或許,此次全球疫情不只會對全球供應鏈造成影響,當在家工作可以同時兼顧工作需求、個人居家照顧需求、與營運持續管理需求下,或許未來在家工作會越來越普遍。
範例一:在家工作資訊與網路安全管理相關要求
- 對於本公司未對外公開的資訊(non-public Information),切勿與客戶,同仁,朋友或於社群媒體上分享與討論
- 無論在家(遠距)工作或分散辦公者,切勿將個人存取組織資訊系統之帳號與密碼與他人(含家人)分享
- 離開辦公環境時,切守桌面∕螢幕淨空要求
- 公司相關資訊(含紙本資料與資訊設備),應妥善保管,切勿將組織相關資訊置於無人看管狀態
- 遠端存取公司資訊系統時,不得使用任何私人攝影器材對螢幕拍照,並擷取本公司資訊系統內相關資料
- 若需要在公共場所存取本行資訊,請留意周圍環境以防偷窺,若有需要,請安裝防窺片
- 防疫期間,假新聞或假消息會增多,請不輕信,不散播未經證實的消息,對於來路不行的消息(尤其是影響組織聲譽者),請通報相關單位
- 防疫期間,電話釣魚與電子郵件釣魚郵件會增多,請勿點選來路不明連結,對於疑似釣魚事件,請通報相關單位
範例二:內部防疫相關溝通電子報(每1-2週更新一次),視報告週期選擇內容。
- 疑似案例檢查情形報告
- 重申員工健康與安全為公司所關心與重視
- 自我隔離相關要求說明
- 旅行區域限制(差旅限制區域),以及例外情形處理原則
- 面對客戶辦公室開放狀況
- 在家(遠距)工作通知─說明那些人在經主管同意後得在家工作(non-critical、non-customer facing和懷孕員工優先)
- 辦公室健康,清潔與消毒說明
- 口罩發送登記與防疫期間員工餐廳供餐模式說明
- 彈性工作時間說明,避免員工搭乘大眾運輸工具與公司上下班時間等待電梯風險
- 遠距存取公司系統要求
- 防疫期間資訊安全管理要求聲明
- 實用網站連結(如疾管署CDC)
- 緊急聯絡資訊(包含安全部門,醫衛部門,資訊安全管理部門等)
- 為所應為(Dos)與為所不為(DONTs)項目
- FAQ 問與答
在家工作的八大風險 |
1 員工竊取組織資訊 2 未妥善保管組織資訊 3 不安全網路連線 4 不安全交換訊息管道 5 釣魚郵件∕釣魚電話攻擊 6 資訊基礎建設不足 7 未妥善評估例外情形 8 員工生產力下降 資料來源:楊博裕,2020年3月 |
【作者簡介】
楊博裕
資訊安全與資訊風險管理領域服務逾15年,目前擔任國際電腦稽核協會(ISACA)資訊風險治理諮詢小組委員及證照命題小組委員,參與新版資訊風險治理架構及相關政策資訊的制定,並參與證照命題及討論。
職涯經驗中,曾協助多家跨國金融機構與高科技製造業創立資訊風險管理單位,熟悉資訊安全與資訊風險管理單位運作方式與價值。目前持有 CISA、CISM、CRISC,及 CFE等證照。
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-15
2024-11-15