首頁 > 焦點新聞

資安,從有做就好 到有效做好

作者:編輯部 -2017 / 12 / 04 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

「你公司的資安是有做就好?做到好?還是做的有效?」這幾個看似簡單卻難以回答的問題,明白點出國內企業面臨攻擊威脅時背後真正的關鍵所在。 

你公司內有資安人嗎?這是思科大中華區資訊安全戰略與運營部經理陳宗祈於今年在10《資安人》雜誌所主辦的「2017發揮設備最大功效」研討會上所提問的第一句話。他又問:「你公司的資安是有做就好?做到好?還是做的有效?」這幾個看似簡單卻難以回答的問題,明白點出國內企業面臨攻擊威脅時背後真正的關鍵所在。

從有做就好到有效做好
國內為數眾多的中小企業資安工作大多是由IT人員兼任,這在以往網路剛開始的年代或許勉強可行,但雲端應用與行動裝置盛行後,企業IT隨之產生劇烈的變化。從原本的後勤支援,向前挪移成帶領業務創新的角色,大大增加IT人員的工作負擔。因此在人力不足的情況下,有些企業對資安工作抱持著「有做就好」的態度,除非是特殊機構或有豐富資源的大企業才會要求把資安「做好做滿」。即便是有專屬資安人員配置的大企業,每天要處理來自各地的安全事件已經不易,難有時間去研究最新的攻擊手法以及早防範,更遑論許多中小,甚至微型企業。

而在預算有限的情況下,企業最實際的做法還是如何「有效」來做資安。至於如何衡量有效?陳宗祈坦言要做到網路100%的保護並不可行,這意謂在目前的網路環境下無法做到完全的防禦,因此需要在有限資源下發揮最大的效益,而不是要求100%的防禦。

KPMG數位科技安全部門協理邱述琛也強調,正因組織面臨的資安風險不會等於零,所以才需要進行風險管理。以下我們就針對陳宗祈與邱述琛分別從技術和管理面來談談Big Data、雲端服務、行動裝置、資料安全等企業IT常見的資安議題,並且提供些如何以有效的方式來做好資安防護工作。

Big Data應用與有效去識別化
結合運端運算的Big Data應用是現今主要的IT趨勢,不管是企業,還是政府組織都可藉由IoT設備來收集使用者資訊,透過Big Data分析出新的商業模式或未來趨勢,為民眾、顧客提供更好的服務。但在資料收集的過程中,勢必面臨到個資外洩的問題。邱述琛舉2017年5月美國聯邦貿易委員會故意外洩100位偽造的顧客個資為例,結果竟發現僅在公布9分鐘後,就有人嘗試利用這些外洩個資。因此在應用Big Data分析的同時如何做好去識別化的工作就成為重要的議題。

企業組織進行資料去識別化時,應就資料類型、敏感度,收集目的、對外釋出方式等做風險評估。像政府將去識別化資訊公開在網路給一般民眾時,因一旦釋出就難以回收,在個資的處理上就需特別謹慎。邱述琛建議可參考NIST IR8053、CNS 29191等規範來進行重點管控。不過他提醒去識別化也要兼顧使用上的需求,以免矯枉過正。他曾遇過有客戶將個資做徹底的去識別化後,資料被打散到無法再利用,以至於要使用時需再回復成原本明文的格式,這樣雖然能確保資料儲存上的安全,但進行處理時還是會有外洩的風險,也增加了處理資料的成本負擔。

邱述琛建議要有效進行去識別化,在前端做比在後端處理更有效率。以2014年芝加哥街道的環境資料感測器為例,這些感測裝置所拍攝收集的影像,會在端點裝置上先進行去影像化的初步處理,僅收集人流量、車輛、氣候等環境資料數據,經處理後再公開在資料平台供大眾使用,這種在前端即去除敏感個資的做法,就能有效節省後端去識別化的工作。

1
推薦此文章
0
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…