随着法规日趋完备、网络建设与应用渐趋成熟，以及软硬件技术的不断精进，企业信息安全的重要性，但也面临更为严峻的挑战。尤其是近年来，因为智慧手持装置的兴起，愈来愈多的员工，希望能使用自己熟悉的智能型手机或平板工作，BYOD(Bring Your Owe Device)的风潮也已经渐渐被企业所接受，但也因此衍生过去从未发生过的资安议题。
BYOD已成趋势 Shadow IT成资安缺口

NTT Communications Corporation BYOD项目副总三隅浩之（Hiroyuki Misumi）指出，由于智能型手机及平板计算机的规格及效能，已经接近个人计算机，携带又更为方面，尤其在行进间、零碎的等待时间或是小型会议或办公室的使用，智慧手持装置显然更能实现随时随地工作的目标，也让BYOD风潮蔚为风尚。

但在BYOD大行其道之际，三隅浩之也指出，“Shadow IT”的问题也开始延烧，因为许多自行携带智慧手装置的员工，其实并没有得到公司的认可。NTT发现，超过50%以上的员工会自行携带智能型手机上班，但只有20%左右是真正得到企业正式同意，在企业默许状态下使用的比例则为12%，值得注意的是，20%的使用者表示，所属企业根本没有任何的管制措施。

NEC资深副总裁山口昌信(Masanobu Yamaguchi)指出：企业必须正视BYOD的趋势已经成形，即早因应准备，才不会让“Shadow IT”蔓延，成为企业IT管理的阴暗死角。他认为智慧手持装置将成为企业IT系统的核心，这只是时间早晚的问题。“移动化优先”(Mobile First)的时代已经来临，我们正处在此一潮流当中。 山口昌信强调：“移动化优先”可协助企业员工在工作现场与企业IT系统迅速直接地连接，这将掀起企业IT系统的革命。而NEC Cloud Smartphone是实现“移动化优先”，同时又保证可以实现生产效率最大化的解决方案。 BYOD成攻击对象 企业应了解攻击模式

三阳工业经理陈春明指出，企业要导入BYOD，一定要做好事前准备，以及详尽的信息蓝图，才能在最短的时间，完成信息管理建设，企业也才能加快营运拓展的脚步，企业信息策略与架构，必须与企业策略相结合。

企业信息安全的防护措施，也应该要跟着企业发展及环境的需要与时俱进，不断调整。尤其在企业的业务流程，已经与网际网络难以切割，资料文件也已经大量数字化的趋势下，来自于网络的恶意攻击威胁，所造成的危害也变得更加严重。

值得注意的是，黑客的攻击对象已经开始从过去以政府单位为主，转而开始攻击企业。趋势科技资深技术顾问黄源庆指出，随着愈来愈多的企业导入BYOD，这些手持智慧装置，也已经成为进阶持续性渗透攻击(Advanced Persistent Threat；APT)，非常喜欢锁定的对象。

F5 Networks技术经理纪文智指出，企业要让信息安全做得更好，一定要了解攻击行为的模式。目前常见的资安攻击手法，首先是从网络方面的攻击，主要是设法取得存取权限；其次是针对应用层次的攻击，主要目的是进行资料窃取，遇到这类攻击，资料本身是否做好就相当重要；最后是DDoS，主要目的则是让网站服务停摆。

纪文智指出，这些攻击方式，其实都有迹可循，企业也可藉此判断，应该采取的防护措施。大多数真正有威胁的攻击，其实是针对应用层次的攻击。纪文智表示，因为应用软件才是接近资料的大门，一旦资料被窃取，就可进行诈骗或财务转帐等动作，企业不可不慎。

注意内部控管 小心设备失窃

黄源庆进一步指出， BYOD因为使用范围非常大，很容易形成资安漏洞，让黑客有机可乘，也就成为商业黑客锁定的对象。台湾各界不管是政府或企业，作为都不够，防御能力都不够强。如夹带附件的社交工程电子邮件，是APT最主要的攻击方式，比例超过90%以上，而且发信单位常常会冒充政府单位或信息部门，用户可说是防不胜防。

事实上，许多企业营业机密，可能就会在员工不经意的状况下流出。根据商业管理协会(Institute of Commercial Management)研究报告指出，白领工作者平均每周处理11份机密营业文件，而且这些机密文件常常会在不必要的情况下曝光。报告指出，39%的工作者曾经将客户资料寄出公司，52%的员工曾在离职时，将工作资料带走；86%的员工坦承习惯性将邮件转寄其他人；26%的员工甚至会使用免费信箱寄送工作资料。

精品科技资安顾问许祐福指出，根据国际计算机安全协会报告(ICSA Security Report)，60%的泄密事件，其实是来自企业内部，只有15%是来自外部入侵，这也代表企业对于企业内部信息机密的保护，还不是很周全。

除了内部员工因为调动或离职，没有做好交接或不慎遗失外，也有员工是因为对公司不满，而窃取资料，商业间谍也是资料外泄的原因之一。此外，员工出差及外派人员也可能会不慎将机敏档案外流，就连委外或合作厂商，也可能因为作业疏失、文件交换分享等因素，导致机敏档案处理风险发生。

虽然BYOD可以让员工使用自己熟悉的设备，提高工作效率，而且对企业主而言，还可以节省软硬件设备支出，以及另外花时间和金钱安排教育训练，但台湾二版高级产品经理卢惠光指出，在这些优势及便利下，相对的也隐藏了一系列的企业资料外泄跟安全性的问题。

卢惠光认为，BYOD资料控管的议题中，计算机遭窃是最严重的资安问题，因为装置一旦遗失，企业就无法作太多的控制，为了防患未然，防毒软件加入防盗功能有其必要。如利用手机中信任的sim卡名单，传送简讯指令保护移动装置的手机防盗功能，或是在公司计算机遗失时，可以登入网站利用笔记型计算机上的webcam实时监控正在使用笔记型计算机的人。

卢惠光更强调，愈来愈多的攻击，不但变得更加专业，病毒的隐密性也变得更高，不但不容易被防毒软件发现，这些病毒也会设法增加停留时间，以便有更多突破防毒软件屏障的可能，即使是已经注意到BYOD有安全隐忧的员工，也不代表就能高枕无忧。

协同操作要注意 法律规定要熟悉

除了从技术面设法克服BYOD可能衍生的资安问题外，企业也需要注意管理面的问题。嘉航科技工程技术副总经理陈威宏指出，企业拥有的数位档案数量愈来愈多，有如洪水一般滚滚而来，位档案的管理就像治水一样，一旦控管不当就会泛滥成灾。

陈威宏指出，数位档案不但无所不在，而且会透过各种系统或装置分享，而在使用或分享的过程中，就可能发生数位档案遭窃的可能。陈威宏认为，权限管理变得非常重要。

以产品开发为例，由于产品在开发过程中，常常需要与不同的部门交换信息，也让资料控管变得更加复杂，因此在不同的阶段，需要不同的权限控管，考量事项包括使用者的角色及群组设定、数据库的存放位置、物件的类别及状态。

值得注意的是，因为营业秘密的成立要件非常严格，许多企业认定非常重要的营业祕密，可能在进入诉讼程序时，却不见得能得到法院认可。勤业众信联合会计师事务所协理曾韵指出，企业如果要确保营业秘密能够受到法律保障，对于营业秘密的意义，尤其是法律上的定义，一定要有相当程度的了解。