啟動2018 資安人的下一步

2018 / 01 / 25

編輯部

我們於2018數位經濟下的資安人這一篇報導提到了台灣正進行於數位經濟發展下，除了民間產業需要轉型，政府的既有組織在數位化的浪潮下也開始逐步進行轉型中。

認識國家未來發展方向後，與我們更切身相關的應該是企業2018年的資訊動態，尤其年關將近，或許有人會有不同的職涯規劃，所以更要了解未來的趨勢。勤業眾信風險諮詢服務總經理萬幼筠就表示近來接到很多Headhunter(獵人頭公司)來電，要找資安長的人才到金融與電信業任職，但有些條件不錯的人選卻因缺乏相關的Domain Know-how而錯失機會。所以萬幼筠一開始就提醒在場與會人士，除了精進資安技術外，也要注意理解產業資訊的現實。尤其是在職場工作多年的資安人們，在面對後輩新進與不斷變化的網路攻擊威脅，除專業職能的加強外，也要不斷累積所處產業的Domain Know-how，將兩者結合成自己獨有的競爭力，才能成為公司不可取代的重要資產。

各產業的法律規範與執行就是Domain Know-how之一，目前日本、新加坡、香港、歐美各國都已通過相關的資安法規，用以保護個人隱私與數位資產不被侵犯，做為數位經濟發展的基礎，資安人員便要協助企業符合規範以免受罰。

把資安納為開發的DNA
為了符合法律規範，減少資安事件或資料外洩而遭重罰，開始有Privacy by Design與Security by Design做法的提出。一開始就將個資隱私與資安的考量放入系統開發的設計架構內，以免日後營運時造成資安維護上的困難。萬幼筠更透露在為經營電子商務賣場的軟體公司進行行政檢查時，竟沒有一間符合金鑰使用的基本規範，有的甚至將金鑰就直接放在某個目錄之下，這些都是未將安全納入設計開發的例子。

以軟體開發來說，萬幼筠坦言：「嚴格來說，只要對其開發過程有所了解，沒有攻不進的系統」，所以軟體開發的品質需遵守一定的嚴格紀律，不是隨便找個會寫的大學生就能勝任。就這方面來看，台灣開發的軟體雖然精簡有效率，但缺乏開發紀律，旁人看不大懂而難以維護；相較下，印度軟體開發人員撰寫的軟體整齊、簡潔，易於閱讀維護，便宜又好的軟體開發，使印度成為軟體輸出的大國。

軟體開發的品質，一方面與學校教育有關，但另一方面對國內資安服業者來說，不要再將這些對安全的需求視做營運開發的成本，相反的，要把它當為企業競爭力的加值，甚至化為有助營收的商品服務，才是面對資訊安全的積極態度。

數位鑑識與安全
以往資安防禦的要點放在預防固守，但現在資安人員開始需要將部分重心移往數位鑑識與事件回應的工作上。例如施行網路攻防演練，就要有被打穿的準備，但重點在於是否能及時採證，並於在多短的時間內完成系統回復。然而數位鑑識的目的就是希望能透過數據分析來還原真相，找到攻擊來源進行威脅的預防。而對資安從業人員來說，隨著工作經驗的累積，也要從以往購買資安解決方案的具體做法，將視野提昇到更宏觀的角度檢視整體安全架構。

數位鑑識資安