金融風暴不僅對經濟衝擊,也帶來許多資訊安全的潛藏危機。
美國金融業所面臨的這波衝擊,主要是因為過度的自由化,導致政府喪失監督的能力所引起,企業現在都紛紛轉向國有化的金融體系,而在資金不易取得,且消費需求降低的情況下,許多企業紛紛轉趨保守,除了減少產能之外,同時也將重心轉移至內部管理以及客戶服務的檢討,甚至有許多企業已經進行裁員的動作,希望能平安渡過這場經濟的寒冬。企業在這段期間除了必須放慢腳步外,更應小心謹慎掌握經營的風險,因為任何風險所造成的衝擊,都可能會決定企業的存活,特別是現在的企業大多高度仰賴電腦系統來進行商業活動,因此對於企業的資安風險更加不能輕忽。
資訊透明度
資安風險其實不只涵蓋機密性的問題,對於資料處理的正確性以及營運的可用性等也都與資安風險脫不了關係,特別是現今企業大多高度仰賴電腦系統來協助業務的執行,包含許多企業核心資訊的輸出輸入、處理,甚至財務報表的編製等,所以資訊揭露的透明度也相形重要。而在經濟疲弱的時候,市場需求降低進而使企業營收降低,若此時因為不正確的資訊處理而造成不實報導,不但可能使公司聲譽受到影響,更可能讓營運雪上加霜。
雖然存在於電腦系統上資料的源頭,主要還是由人工來輸入的,但是電腦系統上其實仍可以做進一步的勾稽與驗證,甚至可以設置防呆機制,預防錯誤資料的輸入,看似平常就已有建置的控制,其實仍然可能潛藏著許多的風險,舉凡來說,許多製造業在市場需求減少時,老闆往往會開始留意庫存的情形,但經過仔細了解後,是不是發現存在著許多報表上是良品,但實際上卻是不良品的情形,這些很可能都是因為資訊沒有被勾稽與驗證而導致的,而長期累積下來的存貨中有存在多少這樣的情形?而由這些錯誤資訊裡面,是不是看到了其他錯誤的資訊?例如:過去的良率資訊是不是也出了問題,否則怎麼會在良品中找出不良品?老闆是否真正了解這些錯誤的資訊可能為企業帶來多大的風險?相信在處於金融風暴的衰弱經濟環境下,是容不下絲毫的錯誤,如何確保企業內部資訊的透明度,以及企業資訊揭露的可靠度,絕對是企業老闆不可輕忽的重要課題。
資訊的保護
美國金融風暴延燒的結果,不但使得許多金融機構以及企業接連倒閉,在產能驟減的情形下,企業也都紛紛開始進行裁員的動作,而在這一波人力精簡的連鎖效應下,不但可能讓企業流失許多重要的資訊資產,更有可能因為電腦系統帳戶權限控管不當,而讓心生不滿的離職員工有機可乘,或有員工可能為了個人的利益,而企圖帶走公司重要的機密資訊,雖然平常如果能作好資訊資產保護以及帳戶授權管理,是可以降低這些風險所帶來的傷害,但其實如果公司有大幅的裁員,機密資訊流失的風險也將大幅提高,企業對於員工帳戶權限的管控是否足夠?是否也已準備好面對裁員後可能產生的影響?而在生存保衛戰的同時,競爭對手之間是否更加積極取得對方的營業狀況資訊?這些接踵而來的影響,都是企業接下來可能必須面對的重大挑戰。
資訊的可用性
企業在這段期間除了必須要嚴格把關成本與資本支出之外,往往也必須妥善利用現有的資源與資產,亦不容許在這個時候資產遭受任何的損壞而影響企業的營運,諸如:火災、斷電、系統當機等等,這些都可能導致企業的營運中斷,而讓已經得來不易的訂單,可能因為這樣的中斷而中斷。對於資安人員來說,除了要確保資訊不中斷,維持良好的資訊溝通管道,並做好災難復原以及緊急應變的準備之外,在這段期間更應加強相關活動的推動與演練,並落實檢討與改善,以確保企業關鍵資訊的可用性。
美國金融風暴的影響其實不只在財務面,對於企業資安來說,不但發生資安風險的可能性升高,同時,資安風險對企業的衝擊也加重了,平常就應該做好的資安管理與控制,在這個階段應更加小心謹慎,嚴加防備。但危機其實也是轉機,換個角度想,這是一個最佳的時機,企業老闆應更加努力來思考如何在這段期間提升資安的管理,除了徹底做好風險評估,運用最少的資源來掌握關鍵風險之外,更應檢討過去所佈建的資安防護是否足夠,以及資安制度面的設計是否完備,並加強資安教育訓練與觀念的宣導提升等,相信這些節省成本又有實質效果的資安活動,絕對是為寒冬後的春天所做的最好準備。