https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

從「人」與「流程」建構安全的電子商務

2004 / 10 / 06
編輯部
從「人」與「流程」建構安全的電子商務

把「人」擺在第一的位置
無論哪一種服務項目,線上交易無法實際接觸到對方,如何讓終端客戶放心消費,必須從商業本質著手,也就是大家耳熟能詳的「客戶第一」,將保障終端用戶列為整體營運規劃的核心。當客戶對公司建立了信任,品牌的價值隨之而來。員工安全訓練更是一切的基礎,唯有整體的安全意識提高,才能面對網路環境快速變化下的高度威脅。

塑造可信賴的作業環境
把安全責任回歸各事業單位,並普及到每一個相關的個人身上,由各單位主管實際面對各式各樣的問題與挑戰。當權責清楚後,更須擬定詳細作業規範及準則,持續的教育訓練,從不知道提升到了解,從了解逐漸轉化為身體力行。當然另一項工作也不能忽略,不斷的稽核與改善以確保成果。當然整個安全管理的範圍既大且廣,利用相關的技術及工具以輔助管理也是必要的手段。

建立專屬的責任團隊
安全的職責應由經營者肩負,搭配專責的安全團隊來規劃及推動所有的安全工作,進而逐步推廣到所有的分支單位。
至於電子商務環境主要的安全要項涵蓋:

*機密性
這是電子商務安全的第一要務,涵蓋交易資料、客戶資料及隱私政策。我們可透過三個角度來規劃整個必要的機制:
從「人」的角度看:清楚擬定公司的隱私權政策及服務條款,同時教育終端客戶認識隱私政策及如何自我保護;更重要的是教育公司所有工作同仁,清楚認識並徹底執行公司的隱私政策,畢竟所有的工作同仁每天接觸客戶,每一位同仁都認知客戶隱私的重要性,才能從每一個細節保護客戶隱私。

從「作業程序」:國外的消費者非常習慣交出信用卡號,因為他們知道這些資料會被好好保護。所以對公司資訊資產進行分類,同時將分類後的資訊資產符合所需對應的安全等級,並訂定清楚作業流程。例如:客戶的密碼忘記了,誰可以進入系統查詢?應該透過哪些作業程序?有沒有留下所有的記錄?

該運用哪些「技術」:可以運用加密技術或金鑰管理來做資料保護,利用VPN、e-mail加密來做通訊防護,以及實體安全方面,如機房的管控、資料儲存管理、甚至小到筆記型電腦的管控,都值得注意。

*身份辨識及認證
從「人」的角度看:教育終端客戶好好管理所有的數位身份,舉凡ISP、各家網站、e-mail地址、自己公司的數位身份都該注意保護;好好管理每一組帳號密碼,千萬不可用懶人密碼;一般人容易忽略的社交工程更須留意,在網路上帳號密碼被借用,他就完全可以使用你的所擁有的權限。

就「作業程序」而言:可結合實體世界的資料,如駕照號碼。甚至可增列一些純個人化資訊,如親人的名字、生日等,可降低帳號密碼被盜用的傷害。同時必須定期更換重新驗証。

可運用的「技術」:使用安全載具作安全登入管控、PKI數位憑證、可結合生物辨識,如指紋、臉部特徵等。

*認可及授權
用戶存取資料的權利及能力從「人」的角度看:教育終端客戶,正確使用他的權限存取相關資料;同時更須規劃完善的訓練,讓所有公司內的工作人員,認識及正確地使用存取控制系統,以確實保護相關機密資訊。也因為綿密的訓練,如果同仁們都有高度警覺性,發生一些個人作業端的異常現象,他知道這是個異常現象並且能及時回報,通常能在事件一發生時,馬上遏止。

再就「作業程序」而言:制定員工守則以及明確的職責分工,以落實存取控管;另一項極重要的時機必須掌握:人員的解雇。一個不滿的人在離職前,隨便一些動作,都可造成難以想像的災害,這時必須事前做必要的防範。另一項影響電子商務運作成敗的關鍵:供應鏈的管理,都必須詳細規劃與溝通。

可運用的「技術」:實體機房及設施的規劃、存取控制清單管理、組態設定更換管理、記錄資訊、稽核、IDS等。

簡而言之,擁有了必要技術及設備、還必須遵照正確的作業流程、更重要的是訓練客戶、訓練工作同仁,這樣才能有效達到安全的作業環境。

最後一項最重要、也是最關鍵的因素:如何獲得高階主管的認可?

1.千萬不要引用「ROI, Return of Investment」:安全的成果無法從正面衡量它的成效,安全工作最弔詭的地方不就是,做的越好、越不覺得安全的重要。通常是所有人在發生事情之後,痛定思痛大力推展,一段時日的太平歲月後逐漸放鬆,這時安全事件又悄悄來臨。

2.應該著眼於「對營運產生多大衝擊」:衡量萬一發生事情,是不是會丟掉客戶?萬一交易不成功,將損失多少營業額?

3.符合政府相關法規:無論是個人資料保護法、智慧財產權保護、電子簽章法、財政部「公開發行公司建立內部控制制度處理準則」等。企業如果希望長期經營,勢必得遵守相關法規,才能立於不敗之地。

安全是電子商務的基礎,唯有安全才能建立信任。也唯有把「人」放在核心位置,所規劃出來的安全機制,才能長治久安。