第一章 緒論
1.1 研究背景與動機
台灣在 101 年 10 月 1 日通過個人資料保護法後,其求償金額以及刑度都相對提高,
個人以及客戶資料的保護成了各大企業的重要議題,特別是牽涉到擁有龐大客戶資料的 企業尤其重視,並且首當其衝,所以資料外洩防護系統也開始引起大家的注意,即使這 已不是一個新的概念。更不是最近才有的系統。
所以對企業或組織而言,避免資料外洩所引發的連帶成本,就是在第一時間防止資 料外洩。所謂資料外洩成本涵蓋法律、調查、管理支出等,以及客戶的流失、商機的喪 失、商譽損害,以及資訊熱線及信用偵測等相關成本。因為機密資料不只存在企業內部,
因此企業需要部署全面且長期的資料安全策略。於是資料外洩防護(Data Leakage Prevention, DLP)就被視為是未來企業資訊安全規畫的重要系統之一,且在主流大廠大 力敲鑼打鼓後,相關資料保護應用的安全業者也開始一一加入此戰局。
根據國外專業研究機構 Ponemon Institute 研究發表的 2013 年全球資料外洩成本調 查報告(2013 Cost of Data Breach Study:Global Analysis)指出在 2012 年的資料外洩事件中,
有三分之二是肇因於人為疏失與系統故障或損壞,而且跟以往相比更將每筆外洩資料的 平均成本推升到 136 美元。在工業科技大國:如德國與美國每筆資料外洩的成本更來到 了 199 美元與 188 美元,其中,醫療、金融及製藥等高度嚴格規範的產業,其資料外洩 的成本較其他產業高出七成。
圖 1 過去二年每筆資料外洩的平均成本(美元) 資料來源:2013 Cost of Data Breach Study: Global Analysis
2
另外報告中也提到,人為的疏失與系統出錯是資料外洩的主要原因。其結果顯示,
64%的資料外洩皆肇因於人為疏失和系統錯誤,先前的研究報告則顯示,62%的員工認 為在公司以外的場合使用公司資料是合理的,而且大多數員工使用完畢後也從來不會刪 除電腦中的資料,這些都有可能是日後資料外洩的主要因素。其研究顯示大部分資料外 洩事件有可能是企業內部員工所造成。另外惡意程式(Malware)和網路入侵對全球大部企 業造成的損失為最高。其調查結果顯示,有 37%的資料外洩是因為惡意程式與網路攻擊 所造成的。
圖 2 資料外洩的主要來源分布圖
資料來源:2013Cost of Data Breach Study : Global Analysis
有鑑於此有不少企業開始重視此問題,也愈來愈願意在預算及經費上投資在資料外 洩防護系統上,但由於此建置費用並不低,操作上及使用上也有一定程度上的複雜性。
也因為目前導入企業尚未普及,導入成功需要由哪些因素配合,以及要如何評估系統等,
這些都是有意導入的企業需要了解的。目前國內尚無研究主要探討 DLP 系統如何導入 以及評估、主要影響的關鍵因素的研究,基於以上原因加上作者在資安界的多年經驗,
欲透過對客戶的面對面深入訪談來探究此系統現今在組織及企業的應用情況以及所遇 到的問題和導入成功因素為何。
3
1.2 研究目的與研究問題
基於上述研究動機,本研究選擇了二個個案公司,分別屬於二個不同的產業型態,
其營業項目產品、獲利模式都截然不同,透過這二個不同的個案訪談及資料分析,來探 究企業導入 DLP 的主原因及動機為何?以及主要導入的關鍵成功因素和執行過程中所 遭遇到的困難點,和管理決策和導入成效是不是相互影響等問題,一一剖析和了解現象,
提供將來需要導入 DLP 系統的企業或組識作為參考。
為達上述研究之目的,本論文以個案研究的方式探討以下問題:
1. 企業對資料外洩防護系統是否建置的主要因素為何?
2. 不同產業的以及企業文化是否會對系統的認知有差別?
3. DLP 系統導入策略是否會影響效益?
4. 高階主管的支持以及專案人員的程度與 DLP 資料外洩防護系統導入的關係?
5. 政策執行力以及全體員工是否有共識,對於系統導入是否有關鍵性的影響?
6. 不同的影響因素是否有相對應的關係?
7. 企業如何評估 DLP 系統導入效益?
4
分析與討論
1.3 研究流程
本研究之研究流程首先主要了解在資料外洩系統導入時,有哪些情況會影響導入的 成效以及阻礙,並欲了解其關鍵成功因素等,而提出問題,再透過相關資訊系統導入的 文獻收集與分析,分別建立關鍵成功因素之構面與釐清個別構面的決策因素,確認並設 計相關訪談問題,而後利用深度訪談資料,以個案分析法來了解,進而確立資料外洩防 護系統導入的關鍵成功因素,最後根據數據合理的分析與討論研究意涵,最後做出研究 結論,並根據本研究結果,給未來欲導入資料外洩防護系統之企業或者組識建議,而本 研究整體流程請參圖 3。
圖 3 研究流程圖 資料來源:本研究整理
確認關鍵因素
發現問題 文獻文析 文獻探討:建立構面 個案訪談 結論與建議
5