首頁 > 資安知識庫 > 資安管理政策與教育訓練  > 關鍵基礎防護

耳聽八方,調和資安與業務的衝突

作者:編輯部 -2018 / 07 / 23 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

無論是高階主管或一般同仁的心中,資安常常被認定是業務的絆腳石。稽核是找麻煩的人、資安就是那個一直說不可以的人。但是任職於外資投信服務的黃文志協理,卻以專業知識及掌握業務需求的第一時間,讓資安融入組織作業流程中,降低推動資安的阻力。


如何調和資安與業務的衝突
資安人員如果在業務計畫擬定之後才參與,整個變動會太大,耗費資源與時間,當然困難重重。現今企業面對瞬息萬變的大環境,商業行為大多為見招拆招靈活應變。但安全防禦必須預想未來3-5年的威脅,越早訂定安全策略,就能在業務需求提出的同時,規畫適當的管控機制,與業務需求同時融合進行。

耳朵拉長一點,知道業務在看甚麼? 準備推甚麼?
藉由上司參加毎周高階主管會議,知曉業務或公司的可能動向。平時就讓同仁們及部門主管,體認攻擊的新趨勢,而不是等到在事情當下說“NO”。能與各部門站在一條線上,從整體公司的角度出發,分析各種可能後果,理智的分析與溝通,同仁們會因為理解而配合安全措施。

黃協理平時就不斷分享一些趨勢給IT部門,遇到像WannaCry的新聞事件,引起高階主管的關注,就凸顯出平日及時做好安全更新的價值,IT單位因此開始認同黃協理。也因為這些平時努力,現在行銷與IT部門都會主動諮詢資安單位,以節省大家的時間。畢竟公司內的其他成員,光達到業績目標就很拼了,哪會再關注安全議題?資安防禦不能是單兵作戰,不與大家合作,就不容易抓到整體防禦構面的全貌。

以個資保護為例,不是只有盤點、評鑑,而是當個資運用有新的流程出現時,都經過審慎評估、第一時間合規。例如: 行銷部門與公關公司洽談新一波行銷企劃,公關公司建議不需提供完整個資,只要客戶email,可以增加廣告客群的精準度。黃協理會站在對方立場,先提及目前國內金融業線上行銷屬保守環境,同時提醒我們無法確定對方會如何使用、保護這批email,不等黃協理會同法務部門討論此事,行銷單位就主動撤回需求。

再如,有次IT被CEO問到目前公司資安防護程度如何,IT主管回答說是銅牆鐵壁,黃協理就利用這個回覆,請IT配合強化資安防禦,讓大家一起往銅牆鐵壁的方向走。
資安還是要專責人員,才能洞察機先,才能看到別人沒看到的。

資安宣導 利用時機很重要
常常利用上司參加每周高階主管會議時,傳遞一些業務相關的安全概念。當外界發生資安事件時,更是案例分享的最好時機。金管會的公文要求,也是達到借力使力效果的討論時刻。
運用業務的小空檔來做年度複習課程,加上不定時的資安宣導,目的是要能讓大家養成好習慣,不見得要拘泥於特定型式及頻率。資安宣導的質比量重要,利用恰當的時間點一下,比經常固定時間做惹人厭要好。
資安的溝通要生活化與口語化,即使與CSO溝通也是用白話文,使用一般性辭彙貼近對方的生活經驗而迴避技術用語。例如前陣子流行的變臉詐騙,簡單說明,就是利用CEO的名義發信給CFO來付款,強調CXO都是駭客喜歡攻擊的對象。

CEO問做到這個層度夠好了嗎?
讓CEO瞭解到,目前威脅狀況、防禦措施、及下一步將加強的重點方向。投信主要商品為基金,轉帳周期是每日,其中還有一些作業緩衝時間。在這樣的特性下,來分析主要威脅有DDoS、APT、Data leakage,以及大量內部蠕蟲感染。 


1
推薦此文章
3
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…