Passion!是資安從業人員心中的意念,而在中小企業主心目中的資安人員=系統人員=網管人員甚至是機電維修人員。雖然近年來,中小企業主逐漸有把MIS人力擴編,但對於分工還是沒有其他業務單位來的大,本文將從人力及委外的角度來提供建議。
重點一:中小企業MIS以一擋百,誰做資安?
每當打開求職網,輸入MIS這個職缺時,看到的內容,往往都會讓很多求職者卻步,因為這些條件不外乎是:
1、懂系統( Windows、 Linux、 Unix、 Web etc)
2、懂網路(Router、 Switch、 LoadBlance、 etc)
3、懂資安(Firewall、 IPS、 Antivirus、 Web Filter、 AccessControl、 etc)
4、懂資料庫(Oracle、 DB2、 SQL Server、 MySQL, etc)
5、懂開發( .Net、 Java、 html、 Flash、 etc)
6、懂ERP管理(SAP, SmartERP, etc)
相信沒有一個人是萬能的,但為何MIS職缺條件卻這麼的嚴苛?原因無它,因為中小企業創業維艱,而資訊部門卻是令人看不到成效的部門,所以久而久之,大家就這麼訂條件。
而隨著網際網路的發達,以及銷售通路多元化(實體及網路),企業主開始思考要擴大資訊部門,然而求職條件還是一成不變,只有願意冒險的求職者才敢投履歷。如果要進行人力分組,一分為二是最快的做法,那就是系統、網路為一組,資料庫、開發、ERP為一組,想當然爾,資安屬於系統類MIS,但隨著資安的問題已從系統層面橫跨到軟體層面,資安人員的配置又將讓企業主頭痛。
資安工作已不再單純只針對網路及系統層面,筆者建議將資安人員權責提高,比較像資安兼稽核的角色,這樣對於企業主的資安宣示有顯著的意義,所以在組職位階的設計上,應比資訊單位還高,如此一來在推動資安政策時,也比較能得心應手。
重點二:資安防護佈署視e化程度及IT人力而定
在MIS身兼數職的情況下,設備的投資是個大問題,買太多設備,等於沒用,買太少設備,又怕被駭,相信很多人心有戚戚焉,所以UTM是個很好的解決之道,除了有Firewall功能外,IPS、Antivirus、Web Filter、MailSpam您想到的幾乎都有,可說一台抵十台。
你唯一要考慮到的就是效能及授權,假如平常的網路頻寛只是用來與客戶溝通Email及員工上網,員工上網又僅限網站瀏覽及收發電子郵件,相信一台小型UTM應就可以符合中小企業使用需求,然而如果有網站服務,甚至有電子商務的考量,建議可以依公司規模來採購高一等級的機種,或是將不需要的模組關閉以提高效能。另外因為UTM裡內含了多種模組,而這些模組都是有軟體授權費用,例如IPS需要有攻擊防禦資料庫,Antivirus有病毒碼,Web Filter有惡意網站清單,MailSpam有黑名單資料庫等,這些在第二年的更新都是要收費的,當然有些UTM廠商是與硬體保固一起計算,有些是軟硬體分開,另外還有的廠商是各模組收費,所以在採購前這些後續的費用也是企業主必須考慮的因素。
中小企業有了UTM就足夠了嗎?普遍企業都有投資防毒軟體,不管是隨機版或企業版,都必須注意防毒軟體的授權時間,並非一套打天下。筆者曾在某公家單位上課時,還有位使用者提到家裡還是十年前的防毒,詢問還要買授權嗎?我想大家都很清楚了。
個資法通過後,許多企業關注公司電腦裡的個人資料管理問題,但各中小企業資訊化的程度深淺不同,可能有些企業會有共用電腦的情況,這時個人資料保護更為重要,除了可以透過集中於檔案伺服器並設定分權存取外,使用檔案加解密技術搭配Token機制也是個好辦法,不同使用者登入系統需插卡,在同一台電腦進行作業時,看不到其他使用者的資料,除了避免資料外洩,也免除在找資料時過於混亂。
當然以上只是列舉UTM、防毒軟體及個資保護等一般中小企業常用的資安解決方案,最終還是要依企業的資訊化程度以及資安人力而定。
重點三:選擇適當項目委外
委外這問題其實已談了很多年,什麼東西該委外?全部委外?部分委外?部分委外又該如何選擇?諸如此類的問題相信已經困擾大家許久。大部份的中小企業,在系統及硬體部份可能已經委外,包括購買駐點人力、技術咨詢服務或選擇租賃服務以降低硬體更換成本,而應用程式委外也是比較常見的部份,不過對於核心系統,例如ERP、進銷存、人事系統(包括維運人力及軟體)則不建議委外,因為此類系統除了有公司相關業務資料外,也包括員工相關的個人資料。
另外在網路服務部份,在資訊人力有限的情況下,可以將DNS、Web Server甚至將Mail Server委外IDC, 除了IDC有良好的網路服務品質外,對於資安防護的強度也比企業內部強,不過將這些服務委外,企業本身外連的頻寛需更穩定,很多使用者對公司內部同仁寄送郵件,都不會考慮到郵件大小(因為過去內部郵件寄信習慣),所以使用習慣需靠教育宣導來達成。而資安監控委外也是目前台灣使用者比較能接受的委外服務,除了24小時隨時監控企業的安全事件外,也提供許多加值服務,包括弱點掃描及社交工程演練,這些都能提高企業資安的效益與人力不足的問題。
重點四:MIS我最大?證據查看制定流程避免濫用
證據=記錄,在許多年前曾經有個公家機關,對於資訊單位記錄了各使用者的上網行為,被認為是侵犯隱私權,但不管是公務人員或是企業員工,只要你是使用了組織裡的內部資源,組織有權可以直接查看你在組織裡的所有行為,包括網路行為、辦公室內行為。當然這前提是要公告,或寫在員工守則當中,但其實這也是為了保護企業個體避免機密外洩。但問題來了,這些證據誰有權力去看?
尤其在中小型企業裡,資訊人員掌握一切資訊設備,他權力最大,所以常常會礙於人情因素,將某些資訊給予某些使用者,或是企業主要求他自己的上網歷程不可以留記錄。另外筆者也曾在多年前在某位客戶的辦公環境,看到所有監看記錄的主機都直接放在總經理辦公室,但這麼做會讓使用者認為企業主不信任員工。所以針對保存證據的查看行為,應要訂定相關流程,以避免人為因素濫用這些記錄。
重點五:持續使用者教育訓練 減少事件發生
所有使用者一致都認為資訊人員最懂電腦,所以所有有關電腦相關問題都會來找他,但其實很多事件都是可以透過學習及改正不正確的習慣來避免,包括辨別可疑的惡意網站,上網不亂點擊;不打開與自己不相關的電子郵件等,透過學習來改正不良的上網習慣。而如何提高使用者的學習力?包括了多元化的學習,例如定期開設內部訓練,外聘講師,內部學習網站,多媒體教學動畫,定期測驗,有獎徵答活動,都可以有效提高使用者的資安意識,也相對提高了使用者的警覺心。
總結:再多的資安設備不足以防範有心盜取公司機密的員工
中小企業在做資安前,其實對於人的管理(人情、個資保護、人力配置)是非常重要的,如果在企業主的心裡沒有天子犯法與庶民同罪之心,甚至不支持資訊人員,不免讓人懷疑是否有心要做好資好,資安的推動與信心的建立也將很難成功。所以資安人員的熱情是需要靠所有使用者的認同與老板的支持,否則再多的資安設備,也不足以防範有心破壞或盗取公司機密的員工。相信當所有員工認同資安工作並落實之後,為公司帶來的效益或附加價值一定會讓你驚艷。
本文作者為資訊服務廠商IT顧問