目前企業對於安全防護的重點都站在防禦者的角度,卻沒有去深入瞭解攻擊者的思維、想法、手法。更多企業對於資安的認知不夠齊全,聽信過度廣告行銷的手法,採購了大量用不到的資安防禦設備,最後淪為設備盤點時才開機的「資產」。一旦,到了資安事件發生時,又因為資安設備起不了作用,而對資安解決方案產生不信任感,更不想推動資安。這樣的負循環持續多年,也導致企業面對資安態度的不積極。
因此,建議目前企業須將改正錯誤的思維設定為第一要事!進一步,資安要做的好有四個要項必須進行:
一、資安需要主管的支持:
一個企業的資訊安全做得好壞與否,主管、老闆是否支持是一個非常大的重點。資安人員往往夾在「安全」與「部門」之間,裡外不是人。若沒有主管的支持,任何資安政策都會難以推動。.
二、資安是整體戰:
資訊安全並不是採購夠多設備就能夠做好的,而是要瞭解本身的弱點、需求,分析過後才能對症下藥,必且把資源花在刀口上。
三、瞭解攻擊者的思維:
知己知彼百戰不殆,瞭解攻擊者的想法、目的、思維之後,才能針對攻擊者的重點進行有效防禦。作為重視安全的企業,更要多瞭解攻擊者的新技術,才能在第一時間應對。
四、與駭客站在同一線:
駭客並不是敵人,更可以是朋友。企業必須要建立有效的資安通報窗口,並且對駭客的漏洞通報給予適當的獎勵,讓他們知道企業是重視資安的,更可以將找到的漏洞通知企業,在第一時間進行修正。
主管的支持、企業整體合力作戰、了解攻者的思維及與駭客同一陣線,這些都非瞬間可以形成,需要將多年負循環所面對企業資安的思維漸漸導正回來,也需要身兼重任的資安同業人員們的積極態度勤於溝通,讓2016年資安除了防禦能力增進外,資安思維的延擴也可以正向延伸。