https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

在資安框架下 Kingston擁抱行動浪潮

2013 / 07 / 03
張維君
在資安框架下 Kingston擁抱行動浪潮

記憶體模組產業儘管已發展成熟,但隨著IT趨勢從PC、NB轉向平板等行動裝置以及雲端應用需求等發展,也考驗著廠商營運模式的應變彈性。全球記憶體模組龍頭廠商Kingston Technology,儘管已經打下穩健市佔率也擁有市場規模經濟,還要繼續憑藉其敏捷自主的系統開發能力以滿足時常變動的營運需求,同時在一套完善的資安規範前提下,BYOD、生產線管理App等新應用的導入也能無後顧之憂。

BYOD與資安政策

Kingston Technology總部位在美國加州,在新竹(遠東金士頓)、上海、深圳、馬來西亞等地設有生產據點,而銷售辦事處則分布在美、歐、亞、紐澳等多國。對Kingston來說,穩健的後勤管理是維持公司立於不敗之地的關鍵之一,而精準的營運流程管理則仰賴IT來實現。在這家4千多人的跨國企業中,有一套統一的IT管理/資安政策去執行推動,一套標準一體適用。而所有新應用的導入也會在總部試行成功後才再推導到各外點,BYOD的政策即為一例。

目前在Kingston,有公務需求的同仁公司會統一配發Windows智慧手機,然而Kingston Technology 資訊長胡應昌也認為BYOD是股趨勢,公司雖不鼓勵,但若業務人員有此需求,帶自己的行動設備來上班並且要連上內部應用系統或email,只要在符合公司資安政策下也會允許使用:
1. 必須設定密碼並符合密碼原則,如每三個月換一次密碼,且密碼複雜度須符合規定。
2. 必須安裝第三方MDM行動裝置管理軟體,可以將手機裡的資料區分為公司資料與私人資料,一旦設備遺失,即可從遠端把公司資料毀掉抹除,防止資料外洩。
3. 透過行動裝置除線上存取應用系統外也准許離線存取。員工在外出差時,透過Citrix server做連線控管,依照其權限可存取其被允許的應用系統。並且須經帳號密碼認證加入domain 才能連進來系統。這部分只開放使用授權給有出差需求或在家中需與公司系統連線的使用者。面對iPad風潮,Kingston Technology 資訊長胡應昌力排眾議,堅決不另成立其他OS開發團隊。

目前可支援iOS、Android等裝置,但胡應昌坦言,儘管有上述行動裝置資安政策,仍然沒辦法做到百分之百防堵。資安除了技術之外,管理與人員訓練更重要。所有新進人員進來,人資部門會進行教育訓練,告知哪些事情不能做,做資安政策的宣導。對網管部門而言,就算已把防火牆管好,把對外防禦做好,但更大的挑戰是如何防止內部員工將資料外洩。在資訊部只能透過各種3rd party資安軟體,做到盡力防堵。但人員的教育更重要,若嚴重的犯錯還可能被革職。


IT政策必須與HR一起執行。在Kingston,有成立跨部門的資安委員會,資訊部門負責資安技術,人資部門負責教育訓練,而在人資部門底下還有專門的法規遵循團隊,包括IT與資安政策的文件也由此部門協助撰寫。因此,集團內所有資安政策的制訂或修改都是在此委員會中被討論,經過所有委員簽署同意後發佈。而在執行上,在跨國集團中要貫徹落實資安政策也不容易,是由總部Compliance group派員到各地進行教育訓練,同時總部IT也會派員將同樣的控制措施佈署到各分點。

Kingston組織橫跨歐、美、亞洲,因此不管是品管或資料安全上,須符合各地規範以及客戶要求。目前由於美國Kingston 網站上有提供線上購物服務,因此須符合PCI-DSS嚴格規範,而歐洲總部設於英國,也必須符合安全港(safe harbor)協定對於相關資料保護與隱私原則。此外許多客戶會委託Kingston直接在產品USB隨身碟中放入客戶資料,因此為符合客戶的保密要求,必須符合CDSA (Content Delivery and Security Association)規範。在種種法規遵循要求之下,Kingston也導入ISO 27001,更全面的建置資訊安全管理系統。目前除歐、美外,亞洲各點都已納入導入範圍。

甚麼是CDSA?
CDSA(Content Delivery and Security Association)是主張對內容保護標準的協會,包括反盜版與法規遵循計畫,計畫標準是為了提供智財內容在供應鏈每一環節的安全風險評鑑而設計,並由ISO稽核人員進行持續稽核。更多資訊請上網查詢:
http://www.cdsaonline.org/

IT該有的堅持

有了這樣一套資安框架,在導入新系統、新應用的安控上,就可以有跡可循。Kingston在去(2012)年開發了Windows 8版的生產線管理App,讓生產線的工程師可持Win 8平板電腦在廠區內走動管理,即時掌握產線狀況。由於Kingston的應用系統都是在微軟.Net環境開發,在內部系統整合上較為容易,尤其在權限控管上也可直接整合AD套用,誰有權限安裝App、誰可存取哪些報表等。相較於許多企業在iPad上市後大量購置並開放用於企業環境,胡應昌堅持他的選擇。他直言,「我們等Win 8平板已經等了兩年」。


一開始許多同仁也提議要使用iPad,但胡應昌堅持企業重要應用系統都已是在.Net開發,Kingston不會考慮再另外成立其他OS的開發團隊,因此絕不考慮在企業佈署iOS或Android的行動裝置。從這樣堅持可以看出胡應昌帶領的IT團隊不只是弱勢的後勤部門,而他們之所以可以擁有這樣的「地位」,因為全公司可能IT部門是最透徹了解跨部門營運流程的人。

這要從Kingston的系統發展開始說起,一開始與其他企業一樣,盡量買套裝ERP、CRM系統,然而因為Kingston的營運模式非常彈性,到後來發現所有買來的套裝軟體都要客製化才符合需求,而客製化到後來就造成版本升級的困擾,所以現在幾乎內部80%的系統都是採用微軟的工具,從一開始就自己量身訂做。

不僅是開發企業內部各部門所使用的系統,也要支援與客戶或外部合作廠商的聯結,因此最熟悉內外營運流程的非IT部門莫屬。胡應昌舉例,有時只要A部門多做一件事,就可以讓其他部門少做很多事,幫公司省下很多成本,這時資訊部門就可以去促成這件事。胡應昌直接對創辦人孫大衛報告,充分得到授權。

在資訊部有一組business analyst專職團隊,專門負責與業務單位使用者談需求,用user熟悉的語言去談,團隊中有人熟悉生產、有人擅長業務,等他們彙集使用者真正需求後再交給開發團隊進行系統分析與開發。因此IT非常了解企業營運流程。

現在,走向行動化已經是不可擋的趨勢。而Kingston在推出生產線App後,也預期為業務部門開發行動化CRM,這對他們來說一點都不是難事。只要將Win app放上去,後面的資料庫都因為SOA而可被支援。但胡應昌也認為,接下來系統發展會以HTML5為主,以因應不同行動裝置作業系統環境。