https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

新聞

2大策略提升用戶端資安意識

2016 / 08 / 03
熊掌櫃
2大策略提升用戶端資安意識

上篇,強化資安第一箭 - 提升用戶端資安意識。提及隱形的資訊風險距離一般用戶端的認知更加遙遠。下篇將會討論企業如何提升用戶端資安意識。

企業內部用戶端缺乏資安意識阻礙資訊安全推動
不論何種規模的企業機構,資訊部門人員相對來說都是少數,絕大部分的員工包括管理階層都是資訊系統的用戶端,這些用戶端缺乏資訊安全認知,對於資訊安全的推動將直接產生以下影響:

1. 資訊安全管理系統是建立一個資訊安全推動及管理機制,其中,例如: A.9.4.3 Password Management System 的控制措施要求有安全的密碼原則,在應用系統設計實務上會要求密碼設定須符合複雜性原則。資訊人員了解,密碼複雜化是為了降低密碼被暴力破解的機率,避免系統被未經授權存取,外在的表徵(資安事件) 是資料不正確(被竄改) 或資料外洩。但這樣的設計直接影響的是使用者操作的不便,一般用戶端無法瞭解這樣的控制措施與哪一個資安問題(資料外洩、竄改) 有關,當資訊人員提出管理辦法或資安技術解決方案時,由於管理階層缺乏資安的認知,他無法連結解決方案與需要被解決問題之間的關聯,將造成在推動資訊安全管理時的阻力。

2. 資訊安全管理系統中,資訊資產擁有者(Asset Owner)對於管理體系運作有著重要的影響,例如風險接受,營運衝擊分析,而這些資產擁有者理當是由該資產主要的用戶端擔任,在對於資安認知缺乏的請況下如何做出合適的判斷及決策?

3. 要安全卻也想要方便。資訊系統設計考量資訊安全需求,增加資訊安全功能設計,將對於系統之存取產生不便或可能影響作業效能,通常用戶端因為無法完全理解資訊安全所可能的影響,因此對於安全功能多是站在對立的立場,此外更直接影響的,在進行系統需求訪談及議定系統交付日期時,通常用戶端不會提出資訊安全功能需求,多半認為是資訊人員的責任,常產生交付日期不合理的情形。此外在系統開發的測試活動,用戶端多半不會主動規劃資訊安全功能之測試並配合執行測試活動,除非該安全功能,就他業務上有直接法令相關之要求。

4. 使用資訊服務、設施因為缺乏資訊安全認知而導致資訊安全事故。許多公司會開發行動裝置的資訊服務,例如建議書系統、客戶管理系統,甚至提供公司的設備給業務或行政人員使用。在缺乏資安認知的情況下,例如設定自動連接公共空間的無線WiFi熱點,對使用者而言,,他並不清楚所連線的熱點由誰提供,當然也不容易注意使用這些熱點的風險,或對於其使用設備的安全性。

5. 商業需求永遠大於安全需求。用戶端缺乏資安認知,因此在考量資訊系統之功能需求時,商業目的會優先於安全需求,而因為安全功能的欠缺,當發生資安事故時,用戶端並不會認為這與他先前否決的安全功能設計有因果關係,而認為是資訊人員作業疏失或是程式開發人員的責任,這一點是許多應用系統開發人員難言之痛。

上述5點影響,只是眾多問題中的幾個,經年累月的結果,容易造成資安人員對於資安議題形成一個「習得無助感(Learned Helplessness)」的心理狀態,「習得無助感(Learned Helplessness)」理論是由賓州大學心理系教授馬汀.賽利格曼(Martin Seligman)所提出,當人們有了無助感後,對人生的看法會改變,不會有動力繼續努力,認為無論如何,都無法左右或改變現況。人們的潛意識在說「何必呢?反正怎麼樣都沒差。」到最後就算解脫的機會近在眼前,也提不起精神採取行動了。 

而這「習得無助感(Learned Helplessness)」的心理狀態,會不會說明了目前資安人員在推動資安管理的一個障礙?關於這議題將來筆者再發表觀點。回歸主題探討如何提升用戶端資安意識。

2大策略提升用戶端資安意識
過去對於組織內部的用戶端之資訊安全教育訓練,很多是一套到底,不會有太多改變,對於有取得ISO管理體系認證的組織,教育訓練是必要的,但教材多偏向ISO 條文或是辦法規章的說明,內容較難以跟實際情況有所連結,就如本文前面提到,許多使用者對於控制措施條文與實際的做法不是很清楚其關聯,因此課程就會流於形式,效果有限。 

過去在教育訓練教材上,多會蒐集或引用一些外部案例,相對於條文理論的說明,比較容易引起學員的興趣,效果也比較好,但即便如此,這些多半是”他山之石”,沒有與學員本身有切身關係,時間一久就容易忽略。因此要確保用戶端將資訊安全根植在他的觀念,建議採取以下策略: 

1.從使用者擁有的個人資訊產品,或公司組織所賦予使用的資訊系統著手
彙整相關資訊產品例如智慧型手機,以使用者可以理解的語言,描述他可能使用的情境,例如下載APP、開放個人Wi-Fi熱點、連接公眾 Wi-Fi 熱點、使用社群軟體等,描述他可能已有的安全威脅,以及如何趨吉避凶。當然如果以實際發生之案例,或請專家展示利用這些設備的安全性漏洞而侵害資安的實驗,更加強其對於資安的認知。 

2.借鏡食安事件,建立資訊產品安全風險資料庫
台灣近幾年,毒澱粉、台灣米混充越南米、頂新飼料油,幾乎年年都有食安問題,搞的民眾人心惶惶,然而經由這些慘痛的經驗,透過強制標示、禁止使用特定添加成分、或要求食品生產廠商及賣場建立自主檢驗管理等機制,確保食品安全,及媒體不斷的宣導,民眾漸漸對於吃下肚的東西開始關注,在購買食物時會對於其成分、產地等資訊多加關注,這些都是正面的發展,關鍵重點在於民眾為了自己身體健康、關注食品添加物、要求提供產品成分資訊,以及建立食品添加物的相關資訊,這種趨勢甚至包括藥品資訊、相關副作用(用藥風險)等,透過一般人可理解的資訊幫助民眾確保個人食品、用藥安全。對於提升用戶端資安的認知,筆者認為可以加以借鏡,就是建立資訊產品安全風險資料庫。 

這一點筆者還沒有完整實作過,僅針對部分產品,例如隨身碟。但筆者認為應該可行,就如同藥品安全資料庫,有些醫院會提供藥品查詢資料庫,甚至在藥袋上都會標示相關藥品可能的副作用及使用風險,對於各項資訊產品,難道不能比照辦理?去各資訊產品的原廠網站,他當然不會跟你說明產品安全資訊。因此若透過公正第三方建立此資料庫,相信可以提供用戶端消費者查詢並提升安全意識,但因為牽涉資訊客觀或是公正與否的問題,一般組織內欲建立此資訊,可以針對產品類型,而非廠牌。 

目前國內對於食品之標示,已經有一些配套措施,例如要求一定規模食品廠商、賣場建立自我原料檢查機制。而對資訊產品,對於除了對於電磁波、輻射等有商品檢驗外,似乎還沒有對於資訊產品的安全有一個客觀公正的機構進行認證,如果未來對於資訊產品的安全性有一個類似要藥品資料庫,相信可以多一個管道,讓民眾主動去了解資訊產品的安全,建立資訊安全認知。當他對於資訊產品安全保持一定的關注,回歸到公司組處理資訊系統安全管控問題時,才能有一個較為對等基礎與資訊或資安人員討論,建立一個良性循環。

 閱讀上篇,強化資安第一箭 - 提升用戶端資安意識 文章

熊掌櫃資安觀 ~
資安就像烹飪,不斷嘗試才能端出色香味俱全、客人滿意、信任又安心的菜餚。熊掌櫃上菜囉。。。
如您對本文有任何感想,歡迎來信交流:
isnews@newera.messefrankfurt.com