隨著如雨後春筍般愈來愈多的雲端服務,許多人也將雲端運用至工作之中,身為資安人員的您,除了擁抱最新的雲端科技之外,也有責任要提醒公司裡眾多的雲端服務使用者,如何避免可能的安全風險。
雲端服務到底安不安全呢?這是許多管理人員心中有的疑問,但隨著Amazon、Google、Microsoft等提供的雲端服務日益成熟,對企業而言,與其因為擔心資安問題而全面禁止使用雲端服務,倒不如好好地教育使用者,讓他們了解在雲端上可能會遇見的安全風險,藉此也更能強化企業的資訊安全。
小心應用但不需杞人憂天
企業應用雲端服務的好處是可以快速地部署和簡化管理,讓使用者能在任何地點存取所需的資料,甚至還可降低傳統資訊服務維運的成本。當然,方便易用的雲端背後,最大的挑戰在於企業需要將資料存放在公司以外的第三方,因此若不了解服務供應商是否有能力因應安全問題,萬一不幸發生資安事件,企業可能也會連帶受到影響。
此外,如果存放的資料類別屬於個人資料,包括像是人事資料、醫療記錄等,一旦資料外洩了,企業面臨的還有個人資料保護法的追訴問題,如果資料是屬於企業極力保護的智慧財產權,也有可能因為雲端服務而開了大門,讓惡意人士更有機會竊取有價值的商業資訊。
以上所提到的問題,並非是雲端服務獨有的情況,舉個例子來說,就像是您家裡有貴重珠寶和現金存款,到底是自己保管安全呢?還是放在銀行保險箱安全?其實這都取決於自我的選擇,如果個人有足夠能力保護它,不願假手他人那是最好,但藉由成熟的商業與管理機制,將貴重物品交由銀行來保管,事實上也不見得會比較不安全。
所以對企業管理階層而言,需要去評估雲端服務供應商是否有能力因應資安問題,並且實施了相關的安全控制措施。至於在應用方面,也必須提供使用者所需的安全意識,讓雲端服務成為企業營運的好幫手,可為企業創造更多效益。
給員工的安全小提醒
在探討雲端安全之前,首先需要讓員工明白所使用的到底是不是雲端服務,所謂的雲端服務,簡單來說就是指「藉由網路技術,讓使用者可以使用瀏覽器或app,能夠直接訂閱使用線上的資訊服務」。目前,雲端服務的種類包羅萬象,常見的像是雲端資料儲存的Dropbox、Google雲端硬碟、客戶關係管理的Salesforce、雲端筆記本的Evernote等。但無論所使用的是哪一種,以下提供的幾個小提醒,都可以協助企業減少應用雲端服務時,因為不當使用所引起的安全問題。
1.請勿貿然將公司資料存放至雲端之中:好用的雲端服務愈來愈多,但是您真的清楚知道服務供應商是如何保護這些資料的?採取了哪些安全控制?公司有哪些資料是被允許可以存放上雲端的?這些問題在使用雲端服務之前,都可以先諮詢資安人員,再依照公司相關程序申請來獲得授權使用。
2.請勿將私人雲端服務運用在工作中:相信有許多人已使用了雲端服務來儲存私人的相片、檔案、影片等,雖然您已經有了個人的使用帳號,直接使用起來方便許多,但是考量到公司資料的重要性,請務必要有所區隔,因此,請使用公司提供的雲端帳號來處理工作,讓我們公歸公、私歸私就好。
3.請勿在雲端上任意分享公司的檔案:雲端服務的最大好處,就是不管何時何地都可存取所需要的資訊,當然分享起來也變得更加容易。在公司之中,我們會依照職務角色設立不同的資料存取權限,以確保資料的安全,因此,針對您以個人權限取得的資料,請不要任意的在雲端上分享給其他未經授權的人。
4.請勿分享帳號密碼和使用權:在雲端之上,帳號和密碼可以決定您能存取的服務與資料,因此設定不容易被猜出的密碼,並且不隨意與他人分享,也是每位員工使用企業雲端服務時的責任,一旦懷疑有人盜用了您的密碼,請立即與資安人員聯繫。
以上幾點,建議可以在教育訓練時對員工進行宣導,或是以電子郵件、海報等方式公布在公司內部之中,讓員工可以簡單地理解配合,也有能力來因應安全風險,並且合理地使用企業所導入的雲端服務。