範圍包括未經授權存取設施和網絡、以至存心洩露企業資訊

思科今天公布一項全新的全球性保安調查結果，集中指出員工常犯的危險行為，而這些行為可導致其中一個企業最關注的保安問題 — 企業資料洩露。調查訪問了超過二千名，來自十個國家的機構僱員及資訊科技專家，揭示全球工作人員常犯的資料洩露錯誤。調查結果發現員工的危險行為，可因應不同國家及文化而有別，讓企業可度身訂造風險管理計劃，以避免地區發生相關事件，並同時維持企業的全球性。

思科委托美國市場調查公司InsightExpress，研究在員工的生活方式及工作急劇轉變的環境下，保安及資料洩露問題對企業的影響(www.cisco.com/go/dlp)。由中央化的工作地點發展至分散性的營商模式及遙距工作，使工作及個人生活的分界變得越來越模糊。這業務營運的轉變及員工的生活重疊，很大程度是由於協作的設備及應用，包括手提電話、手提電腦、Web 2.0應用，視像及其他社區媒體， 都能應用於生活和工作兩方面而引致。

這個轉變中的營商環境，正是這次調查的背景。調查訪問了來自十個國家的不同行業及公司規模的一千名僱員及一千名資訊科技專家，當中包括美國、英國、法國、德國、意大利、日本、中國、印度、澳洲及巴西。選擇這些國家，是因為他們各自代表著不同的社會及商業文化、已建立及正在發展中而 又倚靠網絡的經濟體系，以及不同的互聯網採用程度。

思科首席保安總監John N. Stewart表示：「我們進行這項調查是希望藉此了解行為，而非技術本身。資料保安最終取決於用戶行為，因此，任何規模的企業及各行各業的員工，均需要明白他們的行為會怎樣增加資料遺失的風險，以及對個人及企業的影響。理解這點，可以協助強化資訊科技與員工的關係、度身訂造地區性的警覺及教育計劃，並推行更佳的風險管理。簡單而言，當所有用戶了解到他們的行為會導致的後果，保安工作便可變得更有效。 」

以下為調查結果內十個最值得留意的行為：

1. 改變電腦內的安全設定： 五分之一的員工更改工作設備上的安全設定，以不顧資訊科技政策，進入未經授權的網站。這行為於中國及印度等新興國家最常見。當被問及原因時，超過一半 (52%) 受訪者表示他們只是單純想連結到該網站，超過三分之一認為他們進入那些網站「與其他人無關」。

2. 使用未經授權的應用：每十名資訊科技專家中，有七名表示員工存取未經授權的應用及網站 (例如未經批准的社區媒體、音樂下載軟件及網上購物網站)，最終造成幾近半數的公司資料遺失事故。持這種看法的受訪者以美國 (74%)及印度 (79%) 等國家最為普遍。

3. 存取未經授權的網絡及設施： 於過去一年，每五名資訊科技專家中，有兩名表示遇到員工未經授權存取網絡及設施的情況。這以中國最普遍，有接近三分之二的受訪者遇到這問題。在全球表示遇到同類型問題的受訪者中，有三分之二的受訪者在過去一年更曾多次遇到同類事故，而14%更表示每月均會發生。

4. 分享敏感的公司資料：四分之一 (24%) 的員工承認，曾口頭與朋友、家人，甚至陌生人等非僱員分享敏感資料，令企業的商業機密的保密性存疑。當被問及原因，一些最常見的答案包括：「我需要把意見告訴別人，從而了解他們的看法」、「我需要發洩」及「我不覺得這樣做有問題」。

5. 分享公司設備：接近半數 (44%) 受訪員工在不受監督的情況之下，與其他人如非僱員分享工作的設備，使不相關的人接觸到資料。

6. 工作及個人設備、通訊的界線模糊： 接近三分之二的員工承認每天使用公司電腦作個人用途，包括下載音樂、購物、理財、撰寫網誌及參與討論區等。另外，半數員工使用個人電郵與客戶及同事聯絡，但只有40% 表示這行為得到資訊科技部門批准。

7. 未經保護的設備：最少有三分之一的員工在離開工作的桌子時，沒有登出電腦及把電腦鎖上。他們更會將手提電腦一整夜放置於工作的桌子上，有時候更沒有登出電腦，容易導致失竊事故，而其他人亦有機會存取公司和個人資料。

8. 儲存登入名稱及密碼：五分之一的員工將系統登入名稱及密碼儲存於電腦或寫下放在桌上、未經鎖上的櫃桶內或貼在電腦之上。在某些國家如中國 (28%) ，員工將個人的財政戶口的登入名稱及密碼儲存於工作設備內，為個人身份及財政造成風險。員工亦隨便放置設備，令這些風險增加。

9. 遺失手提儲存設備：接近四分之一 (22%) 的員工把公司的資料儲存於手提儲存設備，並攜帶離開辦公室。這情況於中國最普遍 (41%)，當設備遺失或被盜時，會構成資料洩露的危機。

10. 容許尾隨及未經監管的遊走：超過五分之一 (22%) 的德國員工容許非僱員在未經監管下於公司內隨處遊走。十個調查國家的平均數為13%，當中有18%受訪者容許不知名人士跟隨員工進入公司範圍。

Stewart續稱：「企業讓員工更具協作性及流動性。沒有現代化的保安技術、措施、警覺及教育，資料便會更易受侵害。資料現已可被傳送及於程式內使用、保留於設備上及以往業務不涉足的地方，包括家中、路上、咖啡室、飛機及火車上。這趨勢將會一直持續。要有效地保護資料，我們需要開始考慮業務上的風險特性，並根據這些因素部署技術、措施、警覺及教育計劃。」

Stewart表示這些研究行為的結果，有助公司訂出地區性的員工教育規劃及全球性風險管理計劃。他舉出建議的措施，以防止資料遺失，當中包括：

了解資料；妥善管理：了解儲存、存取及使用資料的方法及地方。

將資料當作自己的物品般看待 — 保護它如自己的金錢：教育員工保護資料等同於賺取及失去金錢。

安全管理的制度化標準：切合一個國家文化及威脅形勢，而制定全球政策目標及設計地區性的教育。

培養信任的文化：Stewart表示：「員工需要慣於報告事故，使資訊科技部門能更快速地解決問題。」

建立保安教育及培訓計劃：以全球性的思維，根據威脅形勢及文化為地區設立適合當地的計劃。

他表示：「保護資料需要企業內團隊的合作，這不單是資訊科技部門的工作。」