中小企業是台灣經濟的基礎,台灣將近9成以上的企業為中小企業,在人力及資源有限的情況下,這些中小企業該如何做好資安防護?
威脅與控制措施
最大威脅:
首先要從威脅面來看,其最主要的資安威脅在於人。中小企業人力有限,分工制度不若大企業精細,也比較缺乏標準管理制度,許多業務決策經常是老闆或主管說了算,也因此造成部份員工的資料或系統使用權利無限上綱,簡單地說就是沒有做好權限控管。
我們經常在中小企業身上看到以下兩種狀況,第一是Key Man變得很Key Man,例如:業務員或業務主管一手掌握所有業務資料,系統內的客戶資料反而不完整,甚至有可能是業務員假造資料填入系統中,又或者IT人員可以看到公司所有的機密資料,像是財務、人事薪資等等,倘若這些人在離職時一併攜走手中的資料,對公司營運將會造成極大衝擊。
第二種狀況則是委外廠商管理問題,中小企業在簽訂委外合約時,普遍不會要求委外廠商簽定保密合約,他們不只把事情委外處理,也同時忽略了管理責任,導致資料容易就此外流,舉例來說,開放所有系統使用權限、不管委外廠商看了哪些資料。
建議控制措施:建立管理制度、職能分工、權限控管、防毒防木馬
若要避免因「人」而引起的資安威脅,首先要做的就是建立管理制度,明確劃分出不同職階或職務的員工所能擁有的系統權限,避免讓單一員工的系統使用權限無限上綱。此外,適當的職能分工也是必須的,如果公司只有1名業務或資訊人員,很容易隻手遮天,竊取、篡改或販售公司機密資料。
再者中小企業要做的是落實權限控管,包括監控特權系統帳號的存取行為、強制存取路徑、定期安裝管理修正程式等控制措施,最後則是定期偵測木馬程式及異常存取行為、安裝Client或Gateway端的防毒軟體,降低電腦被植入木馬程式的風險,避免讓駭客有機可乘。
現況及優先順序:備份備援、防毒軟體、UTM
然而,現實生活中,中小企業最關注的卻不是權限管控問題,而是如何維持系統可用性,確保營運不中斷,於是,針對重要系統建立備份資料或備援機制、安裝Client及Gateway端防毒軟體、導入UTM等,成為中小企業最基礎的資安控制措施。
問題:認知與能力不足
認知與能力不足是造成理想與現實有差距的主要原因,中小企業主對資安的認知不夠、能力不足,即便是最基礎的備援備份機制,也都做得不甚理想,更別提要做好權限管控或是建立明確管理制度,因此,尋求外部顧問協助,或是善用資安廠商與網路上的免費資源,應該是縮減現況與理想間差距的第一步。
個資法提醒:
最後來看中小企業如何因應個資法帶來的衝擊。保護客戶與員工的個人資料,原本就是企業應盡的責任,不是因為個資法通過才開始有責任,中小企業主必須體認到這一點,先辨別自身所擁有的個資資產及哪些流程可能造成資料外洩,再來規劃相對應的保護措施,即便沒有錢投資資安設備,也要試著從管理面、流程面去做好個資保護,例如:設置資安推動專人或小組、定期舉辦資安教育訓練、定期盤點個資資產等,切莫以資金不足為藉口,推卸自身應盡的個資保護責任。
中小企業安全小提醒
1. 建立管理制度,明確劃分出不同職階或職務的員工所能擁有的系統權限。 2. 適當的職能分工,避免將權利與責任集中在同一人身上。 3. 落實權限管控 避免員工的資料使用權無限上綱。 4. 保護個資是企業責任,即便沒有錢投資資安設備,也要試著從管理面、流程面去做好個資保護。
|
◎資安需求總表請至 資安二手市集 下載
◎相關系列文章:
企業資安需求─2011資安地圖 使用說明
企業資安需求(一) 政府及公共事業服務部門-業務流程管理有疏失 委外專案包袱多
企業資安需求(二) 金融業-表面工夫沒有用 確實運用才有效
企業資安需求(三) 高科技製造業-身分權限是基礎 制度與管理政策更重要
企業資安需求(四) 醫療產業-人人都是合法使用者 強化資安意識 降低風險
企業資安需求(六) 電子商務產業-手握龐大客戶資料 Web AP是安全前哨站
企業資安需求(七) 學術機構-校園好多洞 最少應好好遵循ISMS和加密