落實資安政策 才能有助於解決資安問題
二個月前老客戶A表示,其主管電腦遭偽造Email,不法者欲藉以騙取廠商貨款一事,盼能協助調查。當我們前往定期檢查協助時,才發現之前並未對該主管套用的政策啟動有效記錄,此時遇到資安問題,就很難分析判斷。
這說明了即使有對的資安工具,還須搭配適當的管理政策,才是真正有效的運用。而這也是很多客戶在資安政策上的常見作法,對主管不予控管,也不予記錄,對公司而言,遇事將無法舉證、自保。論漏洞,高階主管可能比較低,而一旦產生風險卻有可能比一般員工高上許多,不得不慎。
針對高階主管的系統記錄,為避免任意被管理者查看,精品提供雙保險作法,可透過分權得到稽核人員同意(輸入密碼)後,始能查看以保隱私,這二項也是日後協助老客戶持續提升資安服務的主要方向。
透過工具及管理制度,建構有系統的防禦體系
導入已滿一季的客戶B,在剛開始導入的第二天就意外發現主管電腦已遭入侵,不法者正在匯出主管的Outlook檔案(PST)。IT人員直呼好險,雖已發生,但也即時藉由精品的電子控管系統的各項有效記錄,揭發並阻止了一場可能的災難。
事實上,IT人員多少也知道,在尚未部署資安控管前的內部運作,其實就像是群魔亂舞、人人都有FreeStyle的快樂世界,而往往在導入系統之初,透過純記錄階段,IT人員就能見識到,其內部資安嚴重違紀程度,早已超乎原先想像。而當時客戶B的導入是採公告方式,來展示公司提升資安的決心,也正巧催化了內賊提早發動幹最後一票的行為而就逮。
客戶C的購買,則是上市公司高層下定決心,為了記錄與控管內部失序事件,如採購上百台電腦低買高報、版權控管不實,私有電腦帶來公司當跳板,入侵他人電腦擅自發信等營私舞弊行為。
以上三個的資安攻擊及威脅,對一般人來說,也許是有點距離的網路新聞,或誤以為資安業者總習於恐嚇,事實上這對於精品科技來說,正是天天可聞、可感受到的客戶焦慮,是觸手可及、活生生的資安案例,三個情境也說明了,在面對企業內部日益普遍的影子IT(Shadow IT)議題時,缺乏或未善用工具的IT部門角色已呈現日趨僵化,甚至弱化的現象。
面對資安核心問題,IT部門應積極因應,求助可靠的委外資安廠商,並部署適當的資安系統,落實控管與記錄,自動盤點軟硬體資產,自動化寄送報表、稽核、警示,軟體、網路安全控管,甚至導入檔案加密以保護內部機密源頭,選擇對的工具產品與團隊,IT部門必能事半功倍。尤其關鍵的是「要能爭取到公司高層對資安的支持與堅持」,投入才不容易淪為虛有其表。
符合資安管理制度 因應未來挑戰
在資安法規日益趨嚴下,新版個人資料保護法,資通安全法,歐盟的GDPR(一般資料保護規定),顯示資訊安全的溝通語言將逐步趨於統一,企業不僅要跟上各項法規,還要選擇好的資安系統,在關鍵時刻可舉證符合法規要求,做到善盡良善管理人之各種責任,才能立於不敗之地,避免高額罰金。
不同的心態決定了不同的未來
聽過一個問工作的故事,
工人A覺得只是在砌磚,
工人B是在砌一堵牆,
工人C則是熱情洋溢、滿懷憧憬地在建一座教堂。
回到資安界,精品可以為企業,資安帶來什麼樣的改變?
客戶導入產品是為了什麼?
售後服務不佳的價格戰產品是客戶要的嗎?
我們相信,選擇精品的客戶,絕不是只想做做交代。
我們的使命,
不只在研發程式,
不只在銷售產品,
我們團隊一直在為客戶、為企業的永續經營打造一座堅固的資安堡壘!