資訊科技與倫理/隱私與資料安全
銀牌團隊
| 名字 | 姓氏 | 維基使用者名稱 |
|---|---|---|
| 安德魯 | 海恩斯 | Ahaines120 |
| 邁克爾 | 謝夫奇克 | Mszewczyk5 |
| 格里塞爾達 | 帕西拉斯 | Gpasillas |
| 基婭拉 | 麥肯齊 | Kee201 |
| 達爾敏 | 蘇塔 | Dharminsuthar |
BYOD 代表“自帶裝置”,近年來在大型組織和公司中越來越受歡迎,他們允許員工將自己的裝置用於工作目的。IT 部門越來越意識到 BYOD 正在發生,無論它是正式批准的還是未經批准的,並且他們正在採取措施,透過技術解決方案來解決這種趨勢,這些解決方案可在各種平臺和裝置上保護公司資料。[1] 無論 BYOD 異常是否在組織或公司中正式批准,僱主和管理人員都必須對他們僱用和允許使用其裝置的員工型別保持高度謹慎。一般來說,BYOD 為員工提供了便利和可訪問性,另一方面,它為安全風險、資料丟失和資料隱私問題打開了機會。
DATA 濫用在許多公司網路中很常見。它可能從傳送錯誤的電子郵件到刪除極其重要的檔案。BYOD 可能很麻煩,因為公司無法訪問個人 BYOD 裝置,因為公司不擁有它。這會導致 BYOD 裝置上公司資料的濫用。一些檔案可能會保留在個人 BYOD 裝置上多年,直到裝置被更換、被盜或損壞。在任何公司中都可能發生使用 BYOD 裝置濫用公司資料的情況。任何型別的電子文件都可以在 BYOD 裝置上被訪問和篡改。BYOD 必須制定強有力的策略來打擊 DATA 濫用。即使是敏感文件,大量損壞也會發生,並且成本會根據濫用資料的型別和濫用方式而飆升。
組織或公司的 IT 部門實施的各種政策和法規對於確保安全的的工作環境至關重要;最重要的是,它不會危及業務。在實踐中,BYOD 通常意味著從個人裝置訪問電子郵件,考慮到電子郵件傳送資料的潛在性質以及移動裝置容易丟失 - 或被駭客入侵(如果未進行充分保護) - 這就帶來了風險。員工在個人裝置上訪問公司資料對資料安全構成巨大風險,除非有正確的保護措施到位。[1] 其他形式的 BYOD 包括手機或筆記型電腦使用、儲存棒、硬碟驅動器和其他允許訪問您的工作相關帳戶或工作相關資料的裝置。
由於 BYOD 為公司帶來了更大的風險和不幸;它也使制定尊重員工隱私的啟用策略成為一項艱鉅的任務。但是,試圖透過監控個人擁有的裝置來保護資料可能會被視為侵犯個人隱私權。在不同的地理區域,資料隱私立法規定個人必須對訪問和處理其個人資料給予充分知情並明確同意。在 BYOD 和 MDM 的實際世界中,這種“訪問”意味著監控活動並可能鎖定和擦除裝置 - 這些功能是員工可能不太願意在其個人擁有的智慧手機或平板電腦上允許的。[1]
一般來說,公司和企業應該避免 BYOD。如果他們想對某些員工例外,那麼類似於移動性政策的東西將是有益的,並且在所有情況下都是至關重要的。風險超過了 BYOD 的積極成果,公司必須密切關注如何在公司網路中的任何 BYOD 裝置上處理資料。根據隱私權清理中心,公司在制定 BYOD 政策時必須考慮許多法律法規。哪些法律適用將取決於僱主業務的性質以及它收集、儲存和使用哪種資料。[2] 公司移動性政策意味著員工和僱主之間一定程度的妥協。僱主允許員工使用他們選擇的裝置,而員工承認他們在保護公司資料方面的責任,並允許對其個人裝置進行一定程度的監控。[1] 具有諷刺意味的是,如果僱主很可能為 BYOD 使用者制定移動性政策,那麼他們應該無視 BYOD,只需為員工提供必要的技術和訪問許可權,這些技術和訪問許可權都可以由 IT 部門同時監控,以降低任何與檔案放置錯誤、隱私入侵或其他與 BYOD 相關的風險。
虛擬現實 (VR) 是“使用計算機技術創造互動三維世界的效果,其中物體具有空間存在感。[3]” 使用者在與虛擬環境互動時必須共享個人和敏感資訊。虛擬現實平臺提供商收集生物識別資料,例如手部跟蹤運動、視網膜運動和語音資料,作為改進各種功能的反饋。如果消費者將其 VR 帳戶連結到社交媒體帳戶(例如 Facebook),則平臺提供商可以收集相關資料。關於 VR 平臺提供商如何管理消費者資料,沒有聯邦法律或法規。VR 消費者無法要求從裝置或提供商中刪除其資料,除了加利福尼亞州。加利福尼亞消費者隱私法賦予消費者更多控制權。CCPA 確保消費者可以選擇退出資料收集(如果允許)、請求刪除其資料、瞭解其資料發生的情況以及限制其資料的使用和釋出。[4]
隨著VR收集越來越多的資料,它成為了駭客攻擊的目標。駭客攻擊是指未經授權訪問網路、裝置或系統。由於VR在處理消費者隱私方面沒有規定,因此沒有設定任何安全措施。駭客可以透過暴力破解進入受害者的賬戶,竊取個人資訊。 VR使用者賬戶沒有多因素身份驗證。VR平臺提供商內部沒有資料加密;因此,駭客更容易竊取資料。
每個美國州都必須頒佈隱私法,以確保VR平臺提供商能夠妥善管理消費者資料。每個VR消費者都應該瞭解提供商如何使用其資料以及為何收集資料。每個VR提供商都必須在螢幕上顯示一份披露宣告,消費者必須在使用裝置之前接受它。披露宣告必須使用易於理解的語言。所有資料在儲存時必須進行加密,以防出現數據洩露。所有VR裝置和賬戶都必須進行雙重多因素身份驗證,以防止未經授權的訪問。透過這些額外的預防措施,消費者可以安全地穿越他們的虛擬環境。
工作場所資料的內容可能有所不同,但必須正確儲存和管理所有內容,以避免資料丟失或位置錯誤。如果資料被洩露或被未經授權的人員訪問,組織可能會面臨短期和長期的後果。為了保護組織在其域和雲端儲存中的資料,他們必須瞭解資料丟失的嚴重性和維護資料隱私的重要性。
為了防止資料洩露,組織應該限制某些人員訪問某些檔案和資料。 [5] 員工應該只訪問幫助他們完成工作職責的資訊。此限制應適用於公司擁有的裝置以及連線到組織網路的裝置。
在使用裝置時,無論是個人裝置還是公司裝置,使用者都應確保裝置已登記,並至少設定了一種密碼,以防止任何陌生人訪問重要資訊。 [5] 如果可以在同一裝置上使用兩種不同的密碼,這將增加一層額外的安全性。這一點很重要,因為一旦裝置被報告丟失,接下來的挑戰就是阻止裝置被訪問,並檢測其是否被洩露。
透過確保所有作業系統和應用程式都已打補丁或更新,以避免任何安全漏洞,保持裝置更新至關重要。 [5] 更新針對的是已發現的任何新漏洞,並嘗試解決它們以進一步改善應用程式或軟體的使用體驗和質量。更新通常會嘗試實施新的安全功能,以進一步保護使用者免受駭客攻擊。
任何儲存私密資訊的裝置都應進行深度清理。深度清理將涉及整理任何裝置上的檔案,透過排序和刪除不再需要儲存的任何資料。 [5] 裝置上儲存的檔案越少,您需要負責保護的資料就越少。請記住,檔案可能在其他地方備份,如果不再需要檔案或授予了錯誤的訪問許可權,則應將其刪除。
有四種資料處理程式來管理工作場所資料。
1. 網路安全程式
內容概述了安全資料處置、定期審計和評估、建立政策和流程、實施技術控制、提供員工教育和培訓、建立事件響應策略、制定持續監控和評估程式、建立健全的供應商管理程式、進行定期測試和更新、建立溝通和報告流程以及強調持續的這些步驟包括擦除過時檔案和電子裝置中的資料或將其物理銷燬、進行例行審計和評估、制定完善的政策和程式、使用網路安全工具、定期培訓員工瞭解網路安全意識、制定事件響應策略、監控系統日誌並進行安全審計、管理供應商和第三方供應商、進行滲透測試以及利用漏洞。
2. GRC程式
建立良好的治理、風險和合規性 (GRC) 程式涉及幾個關鍵階段。首先,重要的是要明確定義 GRC 程式的目標和邊界,考慮業務的戰略目標、行業標準和法律需求。為了識別和評估公司的風險,包括運營、財務、法律和聲譽風險,應進行全面風險分析。行業最佳實踐應作為定義公司治理、風險管理和合規流程的政策和程式的基礎。為了管理風險,應設計一個框架,概述風險管理的角色和職責,以及風險識別、評估、緩解和監控程式。為了確保企業遵守所有適用的法律、法規和行業標準,應制定合規流程。這些流程應包括跟蹤、報告和記錄合規性的步驟。應建立和實施內部控制,例如控制流程、監控系統和報告程式,以確保運營有效且符合政策和程式。
3. 內部威脅程式
本文還強調了持續培訓和意識活動的重要性,以向員工說明各種內部威脅、它們可能造成的影響以及識別和報告內部威脅的方法。這包括傳授資料管理原則、內部威脅緩解技術和資訊安全最佳實踐方面的知識。密切關注使用者活動是識別內部威脅的另一個重要組成部分。組織可以使用日誌分析、網路監控和使用者行為監控等工具,跟蹤和評估使用者活動,以識別任何可能表明內部威脅的異常或可疑行為,例如試圖進入限制區域或資料傳輸偏離通常模式。建議定期審計使用者賬戶、訪問許可權和系統日誌,以識別任何潛在的犯罪活動或可能表明內部威脅的異常情況。這涉及評估使用者訪問許可權、注意特權賬戶的使用情況以及進行定期安全審計,以主動識別和阻止內部威脅。
4. ISO 27001
ISO 27001 是一種廣泛認可的資訊安全管理體系 (ISMS) 標準,其實施要求制定計劃策略和幾個基本組成部分。必須確定 ISMS 的範圍,必須獲得領導層的承諾,必須完成風險評估,必須制定安全計劃,必須實施安全措施,必須記錄流程和政策,必須對員工進行培訓,必須完成內部審計,必須進行管理評審,必須進行認證準備,並且持續改進必須成為主要重點。宣告 ISMS 系統將涵蓋的標準、限制、資源、流程和人員是確定其範圍的第一步。實施還必須獲得高管的支援,他們應透過任命管理代表並提供必要的資金來做到這一點。透過仔細的風險評估,必須識別和評估資訊資產的風險和漏洞。這包括識別資源、威脅和漏洞,以及確定風險級別、估計潛在事件的可能性和影響以及確定漏洞。
組織中的每個員工都應接受網路安全重要性的教育,而不僅僅是 IT 專業人員。網路安全政策將解釋每個人在保護 IT 系統方面的責任。這包括電子郵件加密標準以及在工作場所使用社交媒體的標準。在網路安全方面,員工是最薄弱的環節。根據 McAfee 的調查,43% 的資料丟失是由員工造成的。強有力的網路安全政策將幫助員工瞭解保護資料的 важность. [6] 在醫療保健和金融等通常持有重要客戶資訊的行業,這一點尤其重要,因為他們可能會因安全程式不足而受到鉅額罰款。
網路安全政策將告知員工和其他使用者如何負責任地訪問線上資源。它還將包括組織中每個人的一般安全期望。該政策應強調安全敏感資料等重要方面。該政策應該易於閱讀和理解。
IT 部門負責所有資訊安全策略。但是,其他關鍵利益相關者也參與制定政策。例如,法律部門將透過確保政策符合法律要求來為政策的制定做出貢獻。由於技術不斷變化,因此更新網路安全政策以適應這些變化非常重要。
為了充分理解道德駭客的概念,我們首先必須瞭解滲透測試的概念。滲透測試是指合法地利用計算機系統以增強系統整體安全級別的行為。為了使此行為合法,滲透測試人員必須獲得請求滲透測試方的書面授權。未經授權,利用計算機系統的行為將被視為非法。在進行滲透測試時,滲透測試人員會透過利用系統中未知的漏洞來利用計算機系統。滲透測試人員完成測試併成功訪問計算機系統後,將建立一個報告以總結其發現。此報告中討論的主題包括所有已識別的漏洞、用於執行利用的漏洞以及有關修補已識別漏洞的建議(Engebretson,2013)。[7] 在編寫滲透測試報告時,提供儘可能多的細節非常重要。這樣,您的客戶才能使用您的報告作為指南來解決其計算機系統中的漏洞。如果沒有詳細的報告,客戶將無法成功實施提供的解決方案。
在利用計算機系統的行為中,存在一個稱為道德駭客的概念。在大多數情況下,“道德駭客”和“滲透測試”這兩個術語具有相同的含義。道德駭客用於描述執行計算機系統利用以幫助他人的個人。具體而言,幫助他人加強其計算機系統的安全性(Engebretson,2013)。[7] 正如您可能推斷的那樣,如果存在道德駭客,那麼也必須存在不道德駭客。在滲透測試領域,有一些術語可以幫助描述道德駭客和不道德駭客之間的區別。這些術語被稱為“白帽子”、“灰帽子”和“黑帽子”。
有三種類型的帽子描述了道德駭客和不道德駭客之間的區別。首先,您有黑帽子。黑帽子是指對計算機系統進行惡意、未經授權的利用的人。白帽子是指對計算機系統進行合法、經授權的利用的人。為了幫助人們加強其計算機系統的安全級別。最後,灰帽子是指同時進行白帽子和黑帽子駭客攻擊的人(Grimes,2017)。[8] 需要明確的是,任何形式的黑帽子駭客攻擊都是非法的。您進行的駭客攻擊數量無關緊要,任何未經授權的駭客攻擊都將被視為非法。總之,黑帽子是用來描述不道德駭客的術語。白帽子是用來描述道德駭客的術語。最後,灰帽子是用來描述進行不道德和道德駭客攻擊的人的術語。
筆記
[edit | edit source]- ↑ a b c d Absalom, Richard (05/07/2012). "International Data Privacy Legislation Review: A guide for BYOD policies" (PDF). Data-Privacy-Legislation-Review-A-Guide-for-BYOD-Policies.pdf. Retrieved 04/24/2023.
{{cite web}}: Check date values in:|access-date=and|date=(help) - ↑ "Bring Your Own Device (BYOD) . . . at Your Own Risk". Privacy Rights Clearinghouse. 01 September 2013. Retrieved 18 April 2021.
{{cite web}}: Check date values in:|date=(help) - ↑ Bryson, Steve (2013-12-16). "Virtual Reality: A Definition History - A Personal Essay". arXiv:1312.4322 [cs]. doi:10.48550/arxiv.1312.4322.
- ↑ "California Consumer Privacy Act (CCPA)". State of California - Department of Justice - Office of the Attorney General. 2018-10-15. Retrieved 2023-04-25.
- ↑ a b c d Bandler, John (2017). "CYBERCRIME AND FRAUD PREVENTION FOR YOUR HOME, OFFICE, AND CLIENTS". GPSolo. 34 (5): 58–61. ISSN 1528-638X.
- ↑ "How Cybersecurity Policies and Procedures Protect Against Cyberattacks". McAfee. Retrieved 18 April 2021.
- ↑ a b Engebretson, Pat (2013). The basics of hacking and penetration testing : ethical hacking and penetration testing made easy (2nd ed ed.). Amsterdam: Syngress, an imprint of Elsevier. ISBN 978-0-12-411641-2. OCLC 852159073.
{{cite book}}:|edition=has extra text (help) - ↑ Grimes, Roger A. (2017). Hacking the hacker : learn from the experts who take down hackers. Indianapolis, IN. ISBN 978-1-119-39626-0. OCLC 983465946.