觀點

這下子你慘了!

2009 / 05 / 12
編輯部
這下子你慘了!
即便是有安全觀念的組織,也可能會犯常見的繆誤,為企業帶來傷害與毀譽。以下幾點觀念避免讓你的企業登上頭條。

長久以來以安全與IT風險顧問為職,我相信很多公司一定會同意「沒有消息就是好消息」這句話的哲學。有許多公司手持客戶的敏感資料在冒險行事,那很可能會讓它們登上新聞頭版。
並不像是他們沒有安全策略,或是沒有採取相關措施去因應管理上的要求。當組
織假設,某個解決方案所提供的安全防護水準,比它實際本身還高,或是認為某個程序不會造成外洩事件時,組織即步入了錯誤的泥沼。這些假設將會走向我所謂的「這下子你慘了!」的結果,也常常會造成資料外洩與企業負面聲望的後果。
以下是一些誤解與錯誤的觀念與作法,可能會因此讓你的公司躍上新聞版面。

加密即安全
加密是保護機敏資料一個很棒的方法,假如做的適切,它可協助組織因應大部分行
業與管理資料安全上的需求。那亦表示,在大部分的狀況下,可符合許多外洩事件通知法規的要求。但是,資訊加密並不表示它就是全然安全;被用來設計與管理加密的金鑰更至關重要。有些組織會提供開發者、管理者與使用者加密金鑰,但有些甚至是將金鑰和該加密的資料儲存於相同的資料庫當中。這些習慣都會暗中破壞加密的效益。

無線網路一旦啟用WPA2,你便安全無虞
大眾普遍錯誤的觀念認為,最新的無線網路認證與加密標準WPA2,可以排除與無
線網路相關的弱點。但是,除非無線網路用戶端的設定,有做適當的組態與鎖定,否則無線網路對存取點偽裝與中間人攻擊(man-inthe- middle attack)防護是很脆弱的。設置一個偵測惡意的存取點,是頗為平常的事,但它會偽裝成一個孿生無線網路存取點欺騙使用者去連結這個所謂的“evil twin”,並且以看起來像是公司的登入
畫面,騙取使用者輸入帳號密碼。此攻擊甚至被利用來蒐集網路銀行的登入資料。

政策,是大企業的玩意兒
無論規模大小,每一個組織都必須有它的資訊安全政策,但是許多中型與小型企業,這方面的觀念卻很薄弱。有些企業在沒有IT政策之下已營運多年,儘管儲存著敏感的信用卡資料。這些企業已經佈署了安全技術,但卻遭受「缺乏忠誠度」所苦; 一個技術只能解決一種問題,假如沒有一個大家認可的管理政策,不管你在安全技術方面投資了多少,都不會產生作用。

無限期地儲存敏感資料
有些公司從不去清除他們從客戶身上蒐集來的任何資訊,甚至是敏感資訊。這裡可能會發生的問題是,用相同的程序蒐集資料,在幾年前行的通, 今天也同樣行的通。隨著更多的資訊被數位化地蒐集與儲存,技術精湛的駭客所帶來的威脅也愈大, 這些資訊的安全防護需要被再提升。

給員工所有的存取權限
有些組織允許幾乎全部的職員與承包商,不需要什麼足夠的理由就能夠存取客戶的敏感資料。他們聲稱,要適當地限制存取這類資訊,這樣的存取管理控制太費工夫了;他們有其他更急迫的優先事項。然而,有些機敏資料外洩或濫用的大型案例,
就是來自於內部員工。
「這下子你慘了」,別讓這一刻發生!假如你的組織迴避面對這些工作,那麼會上頭條也不是沒理由的。