2011年11月29日 星期二

資訊安全與企業營運的平衡


企業/組織的營運目的,不外乎獲利或。為此,許多企業都會努力改進營運模式,近幾年來企業正計畫、甚至已經進行私有雲或虛擬化的原因,就是為了設法達成企業營運的目的。Check Point台灣區總經理馬勝彰指出,根據Information Week及Morgan Stanley的統計資料顯示,超過28%的企業已經導入雲端技術,計畫導入的企業也已超過30%。

漏洞百出的網路事件

但馬勝彰(Check Point台灣區總經理)也指出,網路世界漏洞百出。根據Gartner的調查,74%的企業使用的Web 2.0應用都缺乏修補程式。而實際上,有81%發生資料外洩的公司,其實不符PCI規範;外寄郵件發生法律財務或商譽風險的企業達20%,更有31%的公司因為資料外洩而被客戶終止往來關係,都已經證明資安事件已經開始影響企業營運。

馬勝彰強調,資訊安全雖是企業防弊手段,但是資訊安全不只是資訊安全產品/技術的集合。因為資訊安全環境最大的挑戰是管理複雜的資安環境,其次則是資安政策的執行,再其次才是防止因外在攻擊所造成的資料外洩,及防止內賊竊取機密資料。由於管理複雜資安環境的需求每年都會成長,馬勝彰建議,企業應該要讓資訊安全融入業務流程,包括以業務目標為導向的政策,以人為中心的資訊安全,及單一集中的管理制度,才不會讓資訊安全措施影響企業的運行。

資安管理也要人性化

但事實上,在很多資安解決方案中,就算IT人員制定了黑白分明的政策,但政策卻未必能配合員工真實的使用情況,如員工的連線行為一旦違反資安政策而導致無法連線時,不斷的呼叫IT人員,不但造成IT人員疲於奔命,甚至可能遭致不少的抱怨。

若但如果IT人員將政策恢復成監控模式,馬勝彰也不認為這種作法適當。以資料外洩為例,除非是在外洩時正好有人在監控,才可能即時阻止。但資料外洩常常都是在事件發生後幾個月才會被發現,如果要回溯發生過程,往往要從幾千、幾萬個資訊中找出,很難真正做到查詢的動作。

詢問、告知、限制 減少管理衝突

為了讓資安管控不會阻礙業務的進行,馬勝彰建議IT人員在執行政策的同時,要了解員工的需求與習慣。首先要做好的是詢問(Ask),但不是要用人去問,而是要利用軟體做系統化的詢問,讓員工在執行任何應用前先做詢問動作,與員工做最即時性的溝通。如員工用Skype時,系統會自動警告將會監控,員工可以回答使用原因;監控系統留下記錄,可作為事後訂定政策。馬勝彰指出,IT人員只要能蒐集到終端使用者需求,就可以作為依據,主動與其他部門討論資安政策。

其次,則是要做到告知(Inform),員工在使用特定軟體時,系統會做即時風險提醒,並配合人性上的控管,教育員工可能的風險與使用政策。最後才是限制(Limit),有限度的使用以節省資源。員工只能在必要時使用,但會限定在一定的範圍(如時間或頻寬)。馬勝彰認為,這種作法比較人性化,可以減少執行上的衝突。

資安投資要顧及企業營運目的

馬勝彰建議IT人員,針對資訊安全投資一定要好好思考,影響或改變企業與員工的運行習慣程度有多大?導入前的規劃與導入後的教育訓練,其時間與金錢成本有多高?管理成本因而增加或減少?這些都是會影響企業追求獲利目標的要素,也是每一位關心企業資安的IT人員必須思考的課題。

引用自《科技商情