首頁 > 焦點新聞

《資安人》座談會「指出資安的新衣」第一階段

作者:編輯部 -2017 / 10 / 30 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

上周24日資安人舉辦一場研討會,會中除了六場個別資安廠商的精彩演說之外,其中最為聽眾所期待參與的「與三位專家的座談會」活動,也成為注目的焦點。以下將分為兩階段與大家分享:
第一階段:專家的觀點演說。
第二階段:三位專家綜合回覆聽眾的建議與分享。

「資訊安全」就像是一件國王的新衣,大家都知道它很重要,很多人也都知道該怎麼把資安做好,但為何資安事件仍然頻傳,甚至還躍上新聞版面?本文將透過與三位資安專家個別從過去服務企業的經驗與看到現在已經發生或是即將遭遇的問題,一一為您指出資安的國王新衣,說出大家平常不敢說的真相。

策略明確、規範嚴謹
首先,由BSI英國標準協會台灣分公司驗證部協理謝君豪先生從分析企業組織推動資安常遭遇到的管理困境為開端。他以酒駕肇事為例,雖然國內對於酒駕的規定相當嚴格,但發生酒駕肇事的案件中,其中的累犯竟高達三分之二,就像是資安事件一樣,其實在技術面上,並沒有多大的問題,問題都是出在管理面。

謝君豪表示在這個高度數位化的社會中,駭客事件越來越嚴重,這是因為在許多地下市集中,駭客可以輕易地取得各式各樣的攻擊工具,這使得駭客要進行攻擊變得簡易許多。此外,金流的問題也因為比特幣的出現使得駭客攻擊的頻率與手法的多樣性與方便性更為增高。從統計資料來看,以技術上來看,不論是在哪個地區,資料的洩漏、網路攻擊與資通訊的非預期中斷,是最常見的三種資安技術風險,未來則以通過網際網路來利用惡意軟體進行攻擊為主流。從非技術面來看,則可以從4P(Partnership、Product、People、Process)這四個面向來分析,其中長官對於資安的支持與承諾則最為重要,可以從負責資安的長官位階,以及可以獲得的資源多寡,看出單位對於資安的重視度。

此外,資安策略的明確性,以及制度規定的嚴謹性,也是資安能否成功施行的關鍵,且資安程序還是得隨著環境的變化適時地進行調整,才能保證不會過期,因此謝君豪建議盡量採用自動化工具來進行管理,畢竟資源有限。謝君豪最後拋出了幾個讓與會在座大家思考的方向,企業內部的資安資源投入的對不對?長官是否支持?資安權責是否清楚?規定的範圍是否適切性?等四個問題。後續第二階段座談將一一分享。

人員、技術與治理
第二位專家則邀請趨勢科技台灣技術總監戴燊先生,他表示許多企業以為自己可以有效地對抗現今網路威脅,因為公司已經遵循ISMS資安管理制度,已符合主管單位之稽核要求,又做了備份,並認為只要建立了堅強的閘道防線,即可決戰於境外,也覺得做事要挑重點,不需要的就別多做,也以為對於沒有金流、個資的系統,駭客便沒有興趣,並只要鞏固公司自身安全即可,外包商的安全須自行負責,也認為我們公司不是大咖,應該不會成為目標,或是公司沒什麼東西好偷的,就算被入侵影響也有限,這些種種都是常見的資安迷思。

戴燊表示企業網路安全綜合來看最常見的問題,來自三個方面,人員、技術與治理,這其中最常見的問題來自管理。例如,企業主經常因為不了解網路安全的重要性,因此投入的資源並不多,總是等到出了事,再來找人負責;主管決策錯誤,導致企業成員缺乏訓練,缺乏資安意識,或是資訊人員身兼資安工作,不具備有面對入侵的因應技能等等,這都是常見的管理問題。

1
推薦此文章
1
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…