https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

透過管理制度,進行有系統的建構防禦體系

2018 / 08 / 27
編輯部
透過管理制度,進行有系統的建構防禦體系

上一篇,我們從推動資安管理制度來探討面對未來的挑戰,這其中包含一些層出不窮的雲端安全狀況,網路安全的設備產品的多樣化,技術人員該如何透過管理來進行日後繁忙工作上的負擔減輕。

這一篇我們將探討議題重點放在管理面,歡迎大家閱讀與分享您的想法。

(歡迎來信: ISNews@newera.messefrankfurt.com )

宛若老舊社區 潛藏公共危機
資安管理制度就是以安全理論為基礎,按照方法論所建構出的一套運作模型,有系統性的架構協助企業由下到上,全面推動資安工作。在資安議題、法規不斷推陳出新的今天,往往讓資安人員無所適從,不知從何做起而陷入疲於奔命的窘境。管理制度的導入就像都市計劃一樣,早期企業導入IT,可能根本沒有考慮到資安的問題,然後當網路興起後,陸續開始有了防火牆、防毒軟體;接著也慢慢設置一些簡單的管理辦法,像是電子郵件、Notebook的使用規則等。長久下來,公司陸續購置了不少資安設備,管理問題也隨之浮現。例如公司沒有一致性的資安管理辦法,不同部門各行其是,常有IT部門都不知道的資訊設備存在,然後資安產品疊床架屋,不但造成浪費也影響工作效率;但令人不解的是公司似乎也能持續運作不受影響。

這就像一些老舊社區一樣,隨著人口的增多開始興建各式住屋,所以頂樓加蓋等違章建築逐一出現,只是缺少完整的都市規劃,所以街道髒亂,交通擁擠不堪…。但如果你要問鐵皮屋能不能住人?當然可以,只是這樣的環境裡潛藏著公共安全的疑慮,一場大火可能就引發重大傷亡的悲劇。

企業資安問題也是如此,雖然IT仍然持續運作,但面對像GDPR最高可處2千萬歐元或全球總營業額4%等日趨嚴格的法規要求,一旦發生資安事件,公司將承受重大損失,甚至是顧客流失,將可能成為下一個劍橋分析的倒閉案例。因此一個全面性資安管理制度的建立,從企業永續經營的角度來看有其必要存在。

透過管理制度,有系統的建構防禦體系
以ISO 27001為例,就是一個經過驗證可行的國際資安管理標準,以風險管理為基礎,針對存取控制、通信操作安全、供應關係、資安事件管理等18個領域,114個控制項,制定政策、程序;並透過PDCA,計畫(Plan)、執行(Do)、檢核(Check)與行動(Action)的方法論,持續強化管理制度的運作。企業可藉由ISO 27001的導入,重新檢視現有不一的各項管制措施,從最上層的政策,到規範、辦法,接著詳細作業程序的制定,到最基礎的表單、記錄,透過四階的文件管理架構,將原本零散的各項管理辦法,由上而下系統化的建立有組織的管理架構。

要完成ISO 27001要求事項的方式很多,不一定得全部仰賴產品技術。以作業流程為例,不少人把SOP標準作業程序當作一種形式上的文件規範,僅供參考稽核之用。假設,我們換個方式思考,只要程序設計得當,或許可以透過流程的管理制度去改善些易於被平日忽略的防禦。

以PDCA 持續改善強化資安管理系統
也有人會質疑,那些遭駭的銀行企業不也一樣有導入資安管理制度?這時就要審視組織單位是否真有落實執行相關的管理規範?如果有的話,至少能從現有的安全架構中有系統的找出事件的蛛絲馬跡,再從攻擊軌跡中發掘事故原因,看是哪個環節出了問題,予以改進,而不至完全毫無頭緒。還是以ISO27001為例,ISO27001本身就以PDCA這樣持續改進的運作來設計,像條文中的ISMS,建立 (P)、實作 (D)、監視與審查(C)、維持與改進(A),讓組織的資安能在不斷的改進下更為健全

面對不同議題 求同存異
在持續運作下,企業資安管理制度會遭遇各種新興運用與法規遵循的挑戰。台灣雲端安全聯盟理事長蔡一郎提到,6、7年前雲端應用剛興起時,很多企業都不敢上雲。但隨著整個雲端環境日益成熟,大家體會到雲端的便利後,便逐漸走向雲端,如同蒲樹盛所說:「只要想對方向,應用就會開始改變」。

當主事者在面對雲端安全的新議題時,應該思考如何將雲端安全機制納入現有管理制度,例如把原有ISO27001裡的18個控制領域與CSA (Cloud Security Alliance,雲端安全聯盟)所發表安全指南中的14個領域去做整合,讓兩者求同存異。其實這些管理機制的發展機構本身也會隨著實務應用演進更新,像雲端安全聯盟針對GDPR的實施,也推出了相對應的CSA Code of Conduct for GDPR Compliance合規行為準則,以協助企業組織符合GDPR的內容規範。

企業資訊韌性
在全球化的風潮下,國際情勢的變動與極端氣候的影響,都讓企業經營時需要面臨未知的風險與挑戰,因此這幾年也開始有所謂發展組織韌性(Organizational Resilience)觀念的提出,讓企業有準備、應對各種危機的能力,達到永續經營的目的,而資訊韌性(Information Resilience)就是其中三大領域之一。

強化資訊韌性就是從資訊生命週期的觀點,讓資訊從產生到結束,相關人等都能安全的使用、儲存這些資訊,即使發生資訊安全事故,組織也具有一定的應變能力。其實以縱深防禦的理論來看,某種程度上也意謂組織不能僅仰賴某一產品技術來固守,整個防禦態勢也從事前偵測和事中應變,涵蓋到事後的復原。資安管理系統除了為企業打造安全的資訊體系外,也要設想一旦攻擊成功,例如個資遭到外洩時,如何進行應變及對大眾公開說明,有效控制災損。如果是遭DDoS攻擊導致服務中斷,如何在最短時間內恢復正常,或至少維持企業最低限度的營運,以展現其組織的韌性。

推薦您閱讀:  推動「資安管理制度」 因應未來挑戰