https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

中小企業做資安 從人開始

2011 / 04 / 01
林文腕
中小企業做資安  從人開始

Passion!是資安從業人員心中的意念,而在中小企業主心目中的資安人員=系統人員=網管人員甚至是機電維修人員。雖然近年來,中小企業主逐漸有把MIS人力擴編,但對於分工還是沒有其他業務單位來的大,本文將從人力及委外的角度來提供建議。

 

重點一中小企業MIS以一擋百,誰做資安?

 

每當打開求職網,輸入MIS這個職缺時,看到的內容,往往都會讓很多求職者卻步,因為這些條件不外乎是:

1、懂系統( Windows Linux Unix Web etc)

2、懂網路(Router Switch LoadBlance etc)

3、懂資安(Firewall IPS Antivirus Web Filter AccessControl etc)

4、懂資料庫(Oracle DB2 SQL Server MySQL etc)

5、懂開發( .Net Java html Flash etc)

6、懂ERP管理(SAP SmartERP etc)

相信沒有一個人是萬能的,但為何MIS職缺條件卻這麼的嚴苛?原因無它,因為中小企業創業維艱,而資訊部門卻是令人看不到成效的部門,所以久而久之,大家就這麼訂條件。

 

而隨著網際網路的發達,以及銷售通路多元化(實體及網路),企業主開始思考要擴大資訊部門,然而求職條件還是一成不變,只有願意冒險的求職者才敢投履歷。如果要進行人力分組,一分為二是最快的做法,那就是系統、網路為一組,資料庫、開發、ERP為一組,想當然爾,資安屬於系統類MIS,但隨著資安的問題已從系統層面橫跨到軟體層面,資安人員的配置又將讓企業主頭痛。

 

資安工作已不再單純只針對網路及系統層面,筆者建議將資安人員權責提高,比較像資安兼稽核的角色,這樣對於企業主的資安宣示有顯著的意義,所以在組職位階的設計上,應比資訊單位還高,如此一來在推動資安政策時,也比較能得心應手。

 

 

重點二資安防護佈署視e化程度及IT人力而定

 

MIS身兼數職的情況下,設備的投資是個大問題,買太多設備,等於沒用,買太少設備,又怕被駭,相信很多人心有戚戚焉,所以UTM是個很好的解決之道,除了有Firewall功能外,IPSAntivirusWeb FilterMailSpam您想到的幾乎都有,可說一台抵十台。

 

你唯一要考慮到的就是效能及授權,假如平常的網路頻寛只是用來與客戶溝通Email及員工上網,員工上網又僅限網站瀏覽及收發電子郵件,相信一台小型UTM應就可以符合中小企業使用需求,然而如果有網站服務,甚至有電子商務的考量,建議可以依公司規模來採購高一等級的機種,或是將不需要的模組關閉以提高效能。另外因為UTM裡內含了多種模組,而這些模組都是有軟體授權費用,例如IPS需要有攻擊防禦資料庫,Antivirus有病毒碼,Web Filter有惡意網站清單,MailSpam有黑名單資料庫等,這些在第二年的更新都是要收費的,當然有些UTM廠商是與硬體保固一起計算,有些是軟硬體分開,另外還有的廠商是各模組收費,所以在採購前這些後續的費用也是企業主必須考慮的因素。

 

中小企業有了UTM就足夠了嗎?普遍企業都有投資防毒軟體,不管是隨機版或企業版,都必須注意防毒軟體的授權時間,並非一套打天下。筆者曾在某公家單位上課時,還有位使用者提到家裡還是十年前的防毒,詢問還要買授權嗎?我想大家都很清楚了。

 

個資法通過後,許多企業關注公司電腦裡的個人資料管理問題,但各中小企業資訊化的程度深淺不同,可能有些企業會有共用電腦的情況,這時個人資料保護更為重要,除了可以透過集中於檔案伺服器並設定分權存取外,使用檔案加解密技術搭配Token機制也是個好辦法,不同使用者登入系統需插卡,在同一台電腦進行作業時,看不到其他使用者的資料,除了避免資料外洩,也免除在找資料時過於混亂。

 

當然以上只是列舉UTM、防毒軟體及個資保護等一般中小企業常用的資安解決方案,最終還是要依企業的資訊化程度以及資安人力而定。

 

 

重點三:選擇適當項目委外

 

委外這問題其實已談了很多年,什麼東西該委外?全部委外?部分委外?部分委外又該如何選擇?諸如此類的問題相信已經困擾大家許久。大部份的中小企業,在系統及硬體部份可能已經委外,包括購買駐點人力、技術咨詢服務或選擇租賃服務以降低硬體更換成本,而應用程式委外也是比較常見的部份,不過對於核心系統,例如ERP、進銷存、人事系統(包括維運人力及軟體)則不建議委外,因為此類系統除了有公司相關業務資料外,也包括員工相關的個人資料。

 

另外在網路服務部份,在資訊人力有限的情況下,可以將DNSWeb Server甚至將Mail Server委外IDC 除了IDC有良好的網路服務品質外,對於資安防護的強度也比企業內部強,不過將這些服務委外,企業本身外連的頻寛需更穩定,很多使用者對公司內部同仁寄送郵件,都不會考慮到郵件大小(因為過去內部郵件寄信習慣),所以使用習慣需靠教育宣導來達成。而資安監控委外也是目前台灣使用者比較能接受的委外服務,除了24小時隨時監控企業的安全事件外,也提供許多加值服務,包括弱點掃描及社交工程演練,這些都能提高企業資安的效益與人力不足的問題。

 

重點四:MIS我最大?證據查看制定流程避免濫用

 

證據=記錄,在許多年前曾經有個公家機關,對於資訊單位記錄了各使用者的上網行為,被認為是侵犯隱私權,但不管是公務人員或是企業員工,只要你是使用了組織裡的內部資源,組織有權可以直接查看你在組織裡的所有行為,包括網路行為、辦公室內行為。當然這前提是要公告,或寫在員工守則當中,但其實這也是為了保護企業個體避免機密外洩。但問題來了,這些證據誰有權力去看?

 

尤其在中小型企業裡,資訊人員掌握一切資訊設備,他權力最大,所以常常會礙於人情因素,將某些資訊給予某些使用者,或是企業主要求他自己的上網歷程不可以留記錄。另外筆者也曾在多年前在某位客戶的辦公環境,看到所有監看記錄的主機都直接放在總經理辦公室,但這麼做會讓使用者認為企業主不信任員工。所以針對保存證據的查看行為,應要訂定相關流程,以避免人為因素濫用這些記錄。

 

 

重點五持續使用者教育訓練 減少事件發生

 

所有使用者一致都認為資訊人員最懂電腦,所以所有有關電腦相關問題都會來找他,但其實很多事件都是可以透過學習及改正不正確的習慣來避免,包括辨別可疑的惡意網站,上網不亂點擊;不打開與自己不相關的電子郵件等,透過學習來改正不良的上網習慣。而如何提高使用者的學習力?包括了多元化的學習,例如定期開設內部訓練,外聘講師,內部學習網站,多媒體教學動畫,定期測驗,有獎徵答活動,都可以有效提高使用者的資安意識,也相對提高了使用者的警覺心。

 

總結:再多的資安設備不足以防範有心盜取公司機密的員工

 

中小企業在做資安前,其實對於人的管理(人情、個資保護、人力配置)是非常重要的,如果在企業主的心裡沒有天子犯法與庶民同罪之心,甚至不支持資訊人員,不免讓人懷疑是否有心要做好資好,資安的推動與信心的建立也將很難成功。所以資安人員的熱情是需要靠所有使用者的認同與老板的支持,否則再多的資安設備,也不足以防範有心破壞或盗取公司機密的員工。相信當所有員工認同資安工作並落實之後,為公司帶來的效益或附加價值一定會讓你驚艷。

 

本文作者為資訊服務廠商IT顧問