觀點

重新檢視外洩防護措施,怎麼做? 避免流於行式,強化實質做法(下)

2017 / 08 / 21
編輯部
重新檢視外洩防護措施,怎麼做? 避免流於行式,強化實質做法(下)

除了上一篇敘述造成機密資料外洩的可能因素外,企業組織面對IT科技的不斷演進,像是雲端服務、行動裝置與Big Data的盛行,最好能做好因應的準備。BSI英國標準協會雲端安全暨PCI DSS產品經理吳晟熙提醒,企業在應用新科技時容易忽視其機會的背後隱藏的資料保護風險,例如不少企業仍然以既有的思維與資料保護機制來管理新科技服務、或容易忽略其衍生的新型態威脅及弱點,讓有心人士趁虛而入。

台灣賽門鐵克公司總經理莊昊龍以自家的調查數據顯示,CIO被問到目前企業所採用的雲應用數量時,大多數認為自身企業所採用的雲端應用數量最多為40個,但實際應用數量已接近1,000個。這認知的落差意謂員工可能會在未有足夠政策和流程的情況下使用雲端技術,因而增加使用雲端應用程式的風險。

● 管理制度導入
就管理上,吳晟熙認為這些新科技所衍生的資安議題都能以導入適當的管理系統來因應。以雲端服務的安全及法令法規遵循議題來說,ISO/IEC 27018對於公有雲服務的個人資料保護有相當完備的指引;ISO/IEC 27017則提供了雲端服務提供者及顧客在資訊安全管理上較佳的實務指引。

對於使用大數據分析技術的企業組織,除個人資料保護法之外,可以參考BS 10012個人資訊管理系統的要求。至於行動裝置部分涉及軟體開發安全與裝置管理,特別是台灣金融業主力開發的行動APP以及電商所開發的APP,可以參考ISO 12812行動金融服務安全系列標準來強化其安全管理機制。

● 加解密的應用
在實務上,Sophos資深技術經理詹鴻基則認為,大部分客戶不清楚哪些資料需要被保護,所以比較立即有效的方式是管制漏洩管道;或是針對所使用的資料進行加密,以大幅度地降低企業資料被非授權使用者開啟的風險。而相對的,現在惡意程式或Botnet 等惡意活動也會採用強度的加密通訊,這些新的加密方法將導致企業在網路通訊的檢查上更加困難,所以F5資深技術顧問許力仁提醒企業應儘快重新檢視網路通訊檢查的能力,補足高強度加密通訊的檢查能力。

針對雲端硬碟的使用,Openfind行銷處協理林家正建議避免使用免費版的雲端硬碟,採用為企業量身打造的檔案分享管理系統,幫助組織在對內或對外分享檔案時,將更多的操作紀錄保存,協助企業在分享資料時能夠在安全的環境下使用。

重新檢視部署
資料外洩防護是一個現在進行式,它會隨著所處環境、產品技術、營運重心等因素而不斷改變。以北市府的Pay.taipei支付平台為例,6月25日APP才推出不久就被發現使用未加密的網路傳輸,而有個資外洩的疑慮。像這類結合行動支付的手機APP已是現今應用的發展趨勢,而機構委外開發APP也將是常態。以此為例,組織機構就得因應這樣的狀況,在承辦人員的教育訓練中加入安全軟體開發的課程,認識安全開發的重要。並在作業流程中加入針對委外開發時需做到的安全要求事項,必要時可引進APP檢測服務做為參考標準,與時俱進,才是外護防護的正確心態。所以怎麼做?做什麼?各位不妨停下腳步,重新檢視組織外洩防護的相關部署。

(上篇)重新檢視外洩防護措施,怎麼做? 避免流於行式,強化實質做法