當你為自己的非營利組織設計數位安全的計畫時,盤點組織可能遭遇到各種不同的數位攻擊及資安威脅是很重要的。本篇介紹了一些可能發生的狀況。
對組織的系統和資料造成威脅有兩種主要來源。第一種是外部駭客:個人或組織試圖透過釣魚的方式來滲透組織的網絡。這些駭客可能透過綁架組織的系統來勒索贖金,或藉以取得捐贈者、工作人員或專案服務對象的相關訊息。第二種來源則是內部員工,不論是無意或惡意的,組織內部使用者可能讓一些機敏性資料有暴露在外的風險。
所以建立一套整合資訊科技的解決方案、員工訓練及紮實的資料存取政策,來確認組織可以防禦外部及內部的數位安全威脅,是極為重要的。
本篇文章將協助你了解使用微軟 Office 365 時,幾個關鍵的資安領域及需斟酌之處,也會告訴您什麼樣的授權方案比較適合您的組織使用。
幾個關鍵的數位安全概念
六個可能讓網絡安全受到威脅的關鍵領域:
- 裝置安全(Device security)
- 帳號安全(Account security)
- 資料外洩控管(Data loss controls)
- 物件等級加密(Item-level encryption)
- 網絡控管(Network controls)
- 惡意軟體控管(Malware controls)
1. 裝置安全(Device security)
目標:確保只有安全的裝置才能讀取組織儲存在雲端的資料及系統。
透過 O365 的設定,可以確保只有被選定、安全的裝置才能存取被分享出來的資料。一般來說,組織會限制 O365 只能在組織擁有的裝置(筆電、平板等等)上才能存取。然而,在這個 BYOD(指「自備工具」,Bring Your Own Device 的縮寫)的時代,組織通常會允許員工透過個人裝置(如智慧型手機)存取雲端系統。而 O365 管理員可以設定這些裝置的存取權限,以確保比較高標的安全機制、並符合相關規範。
2. 帳號安全(Account security)
目標:減少員工帳號被盜取的可能性。
O365 提供多重驗證(Multi-factor Authentication)以確保組織帳號的安全性。簡單來說,多重驗證會要求使用者在登入帳號時,提供額外步驟的身份驗證資訊,譬如登入 O365 帳號時,輸入 Email 或簡訊提供的文字驗證碼。O365 也會監控未授權或從未知裝置的登入嘗試,這些紀錄都能從 O365 的管理後台看到。
3. 資料外洩控管(Data loss controls)
目標:防止員工無意或有意地將機敏性資料傳送給錯誤的接收者。
O365 的資料外洩控管機制,包含監控機敏性資訊是否被傳送到組織外部的設定。舉例來說,可以在 O365 設定給使用者的警告訊息,當他在 Email 中包含了特定的機敏性資料,譬如社會安全號碼。這些監控都是可以客製化的,管理員可以決定什麼樣的資訊禁止外流。
4. 物件等級加密(Item-level Encryption)
目標:防止使用者分享未經組織核可的內容。
你可以使用 O365 的敏感度標籤來控制對個別物件(item)的加密,包括檔案、資料夾…等等。使用者可以保護機敏性資料,不論這些資料所存放的位置,甚至在 USB 隨身碟上也適用。這些控制也包括如果 Email 或文件中有不可外流的資訊,那麼就無法被傳送到組織以外的地方。
 |
| Photo by Brendan Church on Unsplash |
如何挑選我所需要的 Office 365 授權?
關於上述關鍵的資安領域,組織的考量會因為組織屬性而有所不同。如果你的組織工作和 HIPAA、銀行,或其他必須遵守特定規範的資訊有關,將會影響你的安全性考量。擁有特定立場的政治倡議型組織也會比其他 NPOs 面臨更多風險,底下我們將依據組織的類型和需求推薦較佳的授權方式。
也請留意,您可以依據不同員工的安全性需求,混合搭配不同的 O365 授權。有些員工,譬如專案或人資主管,可能比其他員工有更多、更高安全性的資料存取需求。
所有的非營利組織 NPOs
我們建議需要通用安全性保護措施的所有非營利組織,採取底下三個行動:
- 將所有 Windows 裝置都升級到 Windows 10。目前 Windows 10 專業版可以提供最多安全性功能,同時也有最新的安全性補丁。如果你的電腦搭載了 TPM 安全晶片(Trusted Platform Module),Windows 10 還會提供硬碟層級的加密,對筆電的安全防護是比較好的。
- 安裝 Microsoft's Enterprise Mobility + Security E3 方案授權(簡稱 EMS E3),特別是組織裡處理財務或人資資料等機敏資料的使用者。NPOs 現在可以透過 O365 非營利版免費取得 50 個授權(可見科技濃湯公告)。
- 取得 O365 商業版進階授權(或 O365 E3 方案)。大部分的 NPOs 使用者不會在檔案或 Email 中傳送機敏性資料,而 O365 商業版進階授權可以滿足大部分組織對資料外洩控管及物件等級加密的需求,另外,志工也可取得 F1 的授權方式。(可參考:比較 Office 365 非營利組織版方案;組織也可申請、導入 O365 之後,在管理後台看到相關授權資訊與價格)
對於有額外法規規範的組織,會需要比較高層級的授權。這類型組織,通常受到 HIPAA(美國的「健康保險便利和責任法案」)、FIRMA(美國「信託及投資風險管理協會」)、銀行法規和 GDPR(歐洲「一般資料保護規範」)等法規要求。我們建議使用 O365 E3 方案的授權,可以提供適切的資料外洩控管和物件等級加密功能。對於未受到法規規範限制的組織,我們也建議安裝 EMS E3 方案的行動裝置安全性授權。
有既定政治敵人的組織
有些組織的服務宗旨可能招來潛在的政治威脅,譬如政治倡議、獨立新聞及 LGBTQ 權益等類型的組織。如果你的組織屬於這一類範疇,我們建議你取得額外的安全防護授權,也強烈建議你安裝 EMS E5 方案授權,才會有進階的智能威脅防護功能。
如果可能有攻擊產生,EMS E5 方案可以幫助你了解誰是隱藏幕後的攻擊者,同時也可以幫助你設定雲端 App 的安全防護。如果不使用 E5 方案,至少也應該安裝 O365 E3 方案,雖然 E5 方案才能提供你資料外洩控管的進階功能。
如果對安全防護有所妥協,可能對組織造成致命打擊,畢竟使用上述升級方案對組織來說,並無任何壞處。你也可以採取混合授權的策略,使用不同的 O365 和 EMS 方案授權,來為組織打造最適合的安全性解決方案。
0 意見:
張貼留言