在組織中使用和推廣加密 USB 隨身碟

這些小技巧能協助您的組織針對機密資訊進行保密，並遵循 歐盟《一般資料保護規則 (GDPR)》 和 紐約州金融服務廳 (NYDFS) 法案等法規。

建立 USB 加密計畫：保護和遵循

• 建立加密 USB 隨身碟計畫的最佳時機是在您需要證明自己擁有一個加密 USB 隨身碟之前，也就是說直接讓加密 USB 隨身碟整合到組織整體安全性策略中。
• 在配發員工識別證及/或公司筆記型電腦資料時一起制定加密 USB 隨身碟或外接硬碟的最佳使用方式是標準的政策和準備方向。
• 制定意外事件方案來救援遺失的隨身碟或硬碟。

如果您尚未針對加密 USB 隨身碟或外接硬碟及其使用方式備妥計畫，可能會讓加密管理難以執行，同時使組織在所有層面都暴露於風險之中，包含無法遵循法規。由於惡意威脅的行為越來越複雜，對公司而言資料遺失和資料洩漏只會帶來更加昂貴的代價。一項 2021 年的網路安全研究發現，全球資料洩漏的平均成本為 424 萬美元。這比起 2020 年增加了 10%。構思並貫徹一項資料安全計畫並僅使用經核准的加密 USB 隨身碟或外接硬碟來避免 BadUSB 的攻擊，即可以避免這些不必要的花費。

訓練與教育

建立訓練計畫，教育員工了解何謂可接受和不可接受的 USB 隨身碟、外接硬碟及個人裝置（Bring Your Own Device，BYOD）使用政策。

• 讓使用者了解使用非加密 USB 隨身碟和外接硬碟時，會發生的實際違規事件和其他負面後果。
• 讓人資部門和資深管理階層一起參與討論，並支援您的資料安全性提倡計畫。所有新進員工都應該接受訓練，這也是公司對政策方向培訓及持續訓練的一部分。
• 建立以舊換新計畫鼓勵並吸引員工將自己的個人 USB 隨身碟或在展會等場合中用於公務或儲存的裝置，換成公司授權使用的隨身碟和外接硬碟。

沒有針對一般使用者進行風險相關教育訓練，也就意味沒有縝密的預防資料洩漏策略，則極有可能發生違規行為。 近期的 Ponemon USB 安全性研究發現，72% 的員工會使用會議和展會等贈送的免費隨身碟，即便是有提供‘核准 USB 隨身碟相關選項的組織也是如此。

建立和執行政策

應確立適當使用電子可攜式儲存媒體 (包含 USB 隨身碟) 的政策。首先是：

• 請務必判斷哪些個人及群組需要在加密 USB 隨身碟和外接硬碟上存取及/或下載敏感極機密資料，並設定可讓他們存取的相關規定。
• 記錄 IT 團隊和一般使用者的政策
• 強制要求所有員工參與訓練並簽署訓練後協議，讓員工們了解可接受的使用政策和不遵循指導方針的影響。

如果您未設定適當政策讓所有人遵循，USB 隨身碟和外接硬碟可能會是導致資料安全性策略失敗的根源。制定策略是非常重要的第一步。Ponemon 研究還發現，近 50% 的組織確認其在審視此議題前的 24 個月內，曾經丟失具有敏感機密資訊的裝置。