資訊系統的安全在今天已是一個熱門的話題,尤其許多焦點都集中在資料保護的議題之上。到了2014年,企業仍然需要使用安全產品如防火牆與入侵偵測系統,持續地維護網路邊界的安全。但不幸的是,隨著行動裝置的增加和雲端服務的成長,傳統的安全方案已經變得不太夠用了。
回顧過去,安全的目標主要是針對實體設備的保護,但隨著企業開始採用雲端技術和允許員工使用私有裝置如智慧型手機和平板電腦,景況已經明顯不同,一般而言,只要企業能夠保護這些裝置,理論上資料也能夠受到保護。
到了今天,確保資料安全已成為企業的頭號目標,企業不可能永遠保護那些存放資料的設備,或是被用來存取資料的行動裝置,因為對雲端服務而言,企業的邊界將延伸到企業之外,並且依據所提供的應用服務,所有人員都需要連結企業的網路來存取使用,所以防火牆和傳統的安全產品,可能需要允許這些行動裝置跳過既有的安全組態環境,能夠直接地存取企業的內部網路。
因此,對企業和資安人員最大的挑戰是,來自世界各地的駭客、犯罪集團,正虎視眈眈地看著這些由於雲端服務和行動裝置所產生的安全漏洞,然後想趁機大舉來犯,也就不用再提那些對資安仍然懷著不切實際想法的高層管理人員,以及停留維持和過去一樣的安全系統水準,到底要如何應對這些不斷更新且具有高度破壞力的惡意程式與威脅。
實施多層次防禦策略
許多的安全產品雖然能夠用來降低安全風險,但也經常受限於只能抵禦特定的駭客工具與攻擊,因此,建議採用多層次的安全做法,才能有效地提升企業的防禦能力,以下是三點建議企業將要邁入新年度時,需要關注的重點:
第一點、資料分級分類
在部署完整且複雜的安全產品方案之前,企業需要明白到底自己要保護的對象是什麼,這個問題能夠透過針對資料分級與分類來完成。一般而言,資料可區分為機密、財務金融、智慧財產、員工與客戶個人資料、公開資料等等,不同等級的資料,對應的是不同的安全要求,並且可能受到來自法規與工業標準的強制保護規定,因此,企業應透過資料分級分類去定義資料存取的安全要求。
如果企業本身已受到法規的規範,那麼採用雲端服務時更應小心,以醫療產業適用的HIPPA法規為例,如果相關的資料被存放至雲端上,那麼就應要求雲端服務供應商需提供由第三方定期實施的獨立稽核報告,以確認雲端服務的作業流程、系統安全及實務運作,皆能符合法規的規範與要求。
第二點、簽定明確的服務等級協議
雖然企業將系統與應用服務外包給雲端服務供應商,但是對於安全、可靠性及存取系統的責任仍然落在企業自己身上,為了能夠區分並接受各自的安全責任,企業應將責任要求納入合約之中,這包括了簽訂明確的服務等級協議,以及要求獨立的稽核報告,以便確認雲端服務供應商,能夠滿足企業的安全需求。
第三點、政策與行動裝置管理並行
當員工使用私有裝置登入企業的網路時,你不能僅依賴資訊技術就能夠處理所有的資料安全問題,事實上,許多的安全與管理工作,都需要透過文件化的政策來予以落實。因此,針對私有裝置的管理,第一項工作就是建立BYOD的使用政策,明確規範使用者的責任、企業的權力,以及違反安全規定時將採取的行動。如果可能的話,將這些政策與產品方案如行動裝置管理(MDM)和行動應用程式管理(MAM)相結合,透過自動化的方式來管理這些員工使用的行動裝置。
對企業來說,若能透過整合以上三個安全重點,就能夠更有效地去控管你企業資料安全,這或許也是在2014年,企業的管理團隊應該要進行的首要任務了。編輯部(編譯)