2012年1月1號,IBM將會在軟體團隊成立第8個部門-Security System,台灣IBM軟體事業處負責人林世偉表示,屆時大中華區與台灣也都會同時發布這個新部門的相關整合產品。
近十年來,IBM併購了超過10家安全公司,最近的一起併購是Q1 Labs-資安事件管理平台(SIEM, Security Information Event Management)廠商。林世偉談到,根據IBM對整個軟體產業趨勢的研究,由於企業處理的資料量日趨龐大,IT環境逐漸變得複雜,從後端的IT基礎建設到前端的應用程式,從資料中心到使用者介面,都各自有不同的資安問題產生。Q1 Labs的整併只是其中一項整合,補足安全區塊完整藍圖的其中一塊拼圖,最重要的是不斷強化各資安產品線,從資料庫、網路、應用程式到使用者身分認證等,一層一層做的更深更廣。林世偉說,過去IBM的資安產品,在每個部門都會與相對應的其他產品整合,例如資料庫稽核產品就與各家資料庫做介接整合,而未來,整合到整個資安部門,就必須要去思考不同層面的溝通,例如資料庫與網路、網路與應用程式之間等的統整應用。
左起:台灣IBM軟體事業處負責人林世偉、台灣IBM技術長林育震。
以安全治理為最高規格 Security智慧化
談到現今企業面對到的挑戰,台灣IBM 技術長林育震說,問題並不是企業不知道有哪些解決方案,而是到底資安防護做的夠不夠?企業當中有許多不同的資安解決方案,也就會有不同的資安顧問服務,提供諮詢、下指令等,但每每只有在審視、稽核的時候才能知道問題出在哪?卻沒有辦法持續性的了解企業內部問題。他認為應該要能夠蒐集並轉換成統一語言,並能從中解讀出這些資安事件的關聯與回應,當中究竟與營運風險、資料外洩等威脅的關係,並且能有一些指標性的建議,可以告訴企業接下來應當做什麼事情,如此才能提升企業的能見度。(請上網搜尋IBM資訊安全解決方案)。例如當某個系統變慢,但在之中有很多應用程式,分別存放在不同的伺服器上,一層層穿過不同的權限與網路,到底哪個應用程式應該放在哪個伺服器上?當資源耗進的時候,又會影響到哪個應用程式?企業必須要能夠做出企業營運衝擊分析,掌握一切營運風險。
再到企業營運風險的重要思考議題,聽起來彷彿很廣、很大,但卻是從實務上去分析並掌握企業IT的風險能見度。過去我們談的是資安,但在IT環境越來越複雜的狀況之下,它越來越會是營運風險管理當中的一環,因此”Security”更應當要往智慧化去發展。(如圖1) 企業應當採取一些自動化的策略,來強制執行。而在這之上,則是以法規遵循、安全治理為大原則。另一方面則是人員本身的教育,林育震舉IBM內部的例子說明,員工除了必須了解基本的系統安全之外,從委外合約策略的處理到員工應當如何保護公司資產等,都可透過如線上資安課程,確保員工上過課並通過驗證,若違反相關規範便會懲罰措施,例如必須通知其直屬主管。
未來進行式 產業直觀個資法因應
接下來的一年,從政府、電信、醫療、金融、(高科技)製造業、零售到學校等,各產業也都面臨到個資法的影響,也為各企業帶來不小的挑戰。IBM於此也有些觀察與相對應協助方案。林世偉舉例,如醫療產業,對個資保護相當敏感,尤其是病歷,有些國家的病歷資料是屬於個人,而台灣的病歷則屬於醫院。除了病歷資料的保護以外,人員的存取權限控管也是相當重要的一環,包括醫師可以在什麼時間、地點看到何種資料?應記錄醫師使用資料的狀況。又如IT人員在維護系統、稽核過程中,該如何完成工作並防範看到過於詳細的內容?甚至是資料測試能同時兼顧資料真實度及資安防護。
對金融業來說,客戶個資管理的挑戰在於,必需在不同的企業、不同的應用、甚至不同的IT組織當中,被串聯、同步處理。林世偉說,金控下轄不同企業,若是基本帳務資料的交換或許可以,以個資法為前提,若無消費者同意個資不能交叉行銷。但過去已同意交叉行銷,現在卻想拒絕的消費者,無論在什麼時間、哪個分行端點去行使他的個資處理權益,企業又該如何在不同公司的不同系統應用裡去做客戶資料的管理?並且同時貫徹、及時改正?林世偉說,技術能解決的從來都不是問題,這其中面臨到的是部門與人的溝通。今年已經看到有許多金融單位的重視,並持續在這部分施力,他也預計明年會更快速的執行起來。
結語
資安環境日趨複雜,IT更與企業營運緊密結合,資安整合走到底逐漸向企業營運風險靠攏。單從資安風險評估企業威脅,將會顯得太片段而無法掌握全局,IBM未來將透過商業智慧與資安事件管理分析整合,協助企業面對企業營運挑戰,提高企業資安能見度。