首頁 > 焦點新聞

[資安小錦囊] 資安計畫怎麼訂?

作者:編輯部 -2018 / 04 / 12 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

資安的威脅,只有隨著科技越來越進步,而變得越來越複雜。嚴格一點說,這類的威脅又大致可以分為幾部分: 第一是因為導入新技術、新設備所引起的威脅,行動裝置的使用就是一個最明顯的例子,例如現在手機端的安全,除了傳統網路通訊安全外,還有很多是APP程式的安全。這種新科技所造成的議題,在這幾年越來越多,再加上這幾年談的大數據、IOT、雲端等,也使得這些熱門的議題,又增添了許多關於資訊安全的討論。

而另外一種,則是因為新科技與商業流程的導入,或是與原有的技術做整合,因為新的業務模式所導致的風險。舉例來說,因應GPS的使用,所以很多手機程式都會把所在地附近具有特色的餐廳、景點加以整理,或是利用手機定位,與傳統的闖關遊戲相結合,但是同時會不會因此而保存了使用者相對位置的資訊,這些資訊需要如何保存,是不是有銷毀的機制。然而這方面的議題,則會視高階主管的重視度以及商業模式的改變而不斷調整。

另外比較麻煩的一種,則是原有技術下的產物,但是因為過去未重視或是貪圖方便,除了一方面需要更動較大的資訊環節,同時因為使用了一段時間,導致大家已經養成習慣而不願意更動,最明顯的例子,就是遠端連線的議題。在網路連接比較單純的年代,這的確是很好用的工具,但同樣的,其所面對的風險也是很大,只是大家以往沒有特別提出來也都使用習慣了,時間久了就被制約,除非出了很大的事或是被主管機關裁罰,不然這些風險,很多時候都會不自主的被跳過。

除了積極做為,還要心態調整
而身為新一代的資訊安全管理人員,如果還是如同以前的做法,只是定期做程式修補或是藉由弱點掃描報告,看看有那些需要修補的機器設備,甚至只是形式上執行一下滲透測試,這樣子對於現在資訊安全作業而言,絕對是不足夠的。除了要有更積極的做為外,甚至要從人員的心態上做調整,也就是從事後調整,轉換成事前預防。舉個例子,去年度曾經喧騰一時的DDos攻擊,難道一定要等到公司的網路無法運作了,再來想有沒有解決方案,或是只是和ISP的業者,簽訂一個半套的清洗流量的合約嗎? 是不是能夠多思考一下,為什麼主要攻擊的對象都是證券業者,為什麼是對特定行業的攻擊呢? 還是只是隨機抽樣的結果? 那又為什麼選擇證券業呢? 有沒有可能是網路銀行? 還是因為證券業的時效性比銀行業的時效性來的更強? 我的產業是不是也有同樣的特性? 如果我的網路掛了,我有沒有其他可以採取的措施?
我需要走同一入口的端點嗎? 還是我可以用不同的ISP業者?
問了這麼一串為什麼,可能只是對現有的問題有了更進一步的瞭解,但這並沒有提供任何的解決方案,充其量只能說更加深入的認識,「找出解決方案」才是重點。 

資料一定要「真實」
要找出解決方案,有時候需要更多的數據資料,而且這些數據資料,是必須能夠反映現實的狀況,並且必須是真實的資料。從過去相關行業的案例,到目前所面臨可能的損失,或是現行網路架構的漏洞…等等,可能都要需要有明確的數據來做預防與判斷。最重要的是這些數據對於組織的影響力。不要以為老闆看了這些數據就會買單。台灣的老闆願意主動花費在資安上的比率相對是低,通常老闆會提幾個問題「如果不做會怎麼樣?」、「其他同業有沒有人做,他們是怎麼做的?」、「會不會被罰錢?如果被罰錢要罰多少錢?」、「只有這個解決方案嗎?有沒有其他的解決方案?費用差異是多少呢?」、「這樣會是成為一次性的投資嗎?」。這些問題可能都是在準備這些資料時需要一併考量的,但重點有一個前提,就是你所提供的資料一定要「真實」。一但這些資料被老闆發現是假的,或是有錯誤的,那高階主管對你的信任度就會大打折扣。



1
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…