觀點

推動「資安管理制度」 因應未來挑戰

2018 / 08 / 13
編輯部
推動「資安管理制度」 因應未來挑戰

在公司苦幹實幹十幾年,做個IT部門主管平常升官加薪沒你的份,熬夜加班就有你的事,結果最近突然接獲高層告知職務調動,以為總算得到公司的青睞,終於有機會晉升。一問之下,原來是為了因應今年歐盟GDPR實施,企業需設立DPO (Data Protection Officer,資料保護長),並依法履行職責,如果企業違反GDPR的相關規範,DPO也將被追究責任。而我,也夢幻似的晉升為需擔負起組織中安全管理一職,又該如何管、如何因應目前的資安威脅與法令要求呢?

單靠產品技術 無法解決資安問題
當面對網路攻擊、雲端安全等層出不窮的資安威脅,要如何才能做好資料防護的工作?此刻您會發現,以往傳統的產品、技術,例如防火牆、防毒軟體等似乎都無法達到這些法令上的需求。要做的事千頭萬緒,卻又不知該從何做起,此時就該考慮透過安全管理制度的建立來提昇企業的資安防護,以滿足各項法規遵循的需求。

然而,技術背景出身的資安人員,也許會覺得管理工作不過是形式上的紙上作業(paper work),網路安全防護還是需要依靠產品與技術來達成。但是,這句話只對了一半,不同的資安產品可以解決不同的安全問題,但卻難以建構出組織所需的整個防禦體系統,有時候甚至需要管理制度的要求才能解決資安問題。

漏洞修補為例
舉例來說,中華資安國際董事長陳振楠指出,根據滲透測試發現,企業組織平均存在4個以上高風險漏洞,其中有73%漏洞可用以駭入或取得資料庫內容。而透過入侵管道的分析,發現任意檔案上傳功能與未修補漏洞是企業被駭的兩大主因,這歷歷顯示安全漏洞會對企業資安造成嚴重的潛在威脅。

既然大家都知道漏洞修補的重要,但為何許多企業都無法做到即時更新?如果是因為系統太多但資安人力不足,無法即時更新所有設備。陳振楠表示我們可以選擇使用資產管理工具,清查盤點企業現有的IT資產,再透過網路掃描分析統計出弱點數量,以便進行後續更新,符合法規安全稽核的要求。
但實際上,有時會因為系統過於老舊,廠商已不支援更新;或擔心更新後會影響現有系統程式的運作,使得更新作業無法立即實施,結果可能就是稽核報表上永遠顯示一堆未更新的系統弱點,久而久之IT人員似乎也習慣這些未更新警示而不予理會,使得企業組織存在許多遭弱點攻擊的危機風險。


配合管理手段 有效進行系統更新
這時就要配合管理手段,以風險評估為基礎,高風險的漏洞或重要系統優先更新處理;如果無法立即更新,也可在入侵防禦系統上設定規則(rule)以抵擋攻擊。如果是影響較不嚴重的漏洞,或該系統不對外服務的話,則可較慢進行修補,並在實際可行的考量下,設定需達到一定比例更新的門檻,真正落實安全稽核的要求。

英國標準協會台灣分公司總經理蒲樹盛認為資訊安全要結合管理與技術,可以讓兩者彼此相輔相成,管理是設定遊戲規則,而技術是用來幫你符合遊戲規則。他強調:「沒有技術,效率就出不來」。就像漏洞修補,如果全都要靠人工手動更新,然後再從Excel中去製作符合法規的統計報表,勢必耗用大量的人力時間。尤其對具備數以百計,甚至千數設備數量的中大型企業,根本無法單單靠人工手動來處理,此時就得藉由一些自動化的工具,搭配風險評估的管理方式才能得以有效地執行與更新。

推薦您閱讀:  透過管理制度,進行有系統的建構防禦體系