觀點

正視企業資安課題 - 五步驟檢測資安防護

2016 / 03 / 14
編輯部整理
正視企業資安課題 - 五步驟檢測資安防護

農曆春節前夕,駭客透過大陸阿里巴巴的雲端運算服務,試圖入侵2000多萬個知名購物平台淘寶網的活躍用戶帳戶。儘管阿里巴巴成功阻擋絕大多數的攻擊,但仍有帳戶難逃一劫慘,會員的行動資訊安全被推向危險深淵。顯見在行動科技的快速發展之下,資訊安全的隱憂彷彿不定時炸彈,隨時都可能引爆。

對於這樣類型的資安疑慮隨時可能爆發,企業端應提前做好準備並且建立適當的資安政策與配套措施。但據Aruba, a Hewlett Packard Enterprise company 的「面臨風險Running the Risk」資安威脅研究報告顯示結果,可觀察到目前多數企業仍未正視該課題,研究報告中表示,行動新世代員工樂於分享自己的行動裝置,但往往忽略資安程序的重要性,並且進一步指出,在大中華區高達8成的受訪者經常將自己業務與私人用的智慧型手機借予他人使用。近三分之一的受訪者坦承曾因為行動裝置使用不當而遺失資料;此趨勢在大中華區更加明顯,達到4 成,目前仍有37%的企業尚未制定任何基本行動安全政策。資安威脅研究報告也提出透過五步驟的檢查建議,以確保IT部門已經準備好面對未來的資訊安全風險與挑戰:

1. 制定基本安全政策:不論公司規模大小,皆須明文制定使用規範,當中應包含使用角色、裝置、地點和環境屬性。

2. 落實強制規定:從應用程式、裝置到網路,企業應為敏感性資訊提供共同的強制規範,包括整合行動裝置管理(MDM)、防火牆、入侵防護系統 (IPS)與政策引擎(Policy engine)。

3. 衡量與監控使用者行為: IT 必須衡量和監控使用者的行為,以確保安全政策與業務目標相符。

4. 員工訓練:依據員工的需求做出評估,同時教育員工訓練的重要性與如何協助改善公司資安。

5. 員工回饋機制:聆聽員工的回饋,並採取服務層級協議來管理並回應員工意見和需求,改善自動化工作流程和安全政策的效益。

由此我們可以知道,現階段資安威脅無所不在,企業的防護與其設備一買再買,其運用上的延展性除了需要合作的資安廠商來協助外,企業自身也需要有自我提升及落實資安的觀念與做法,平日應採用自適性信任(adaptive trust) 的方式來保持連線能力和資安,建立適合的安全基礎設以及勤於與服務廠商互動,以確保企業的資安時時刻刻可以應變危機。

文章提供 : Aruba, a Hewlett Packard Enterprise company