一般使用者的電腦系統,通常是資安最弱的環節之一,尤其是設備一旦脫離了企業內部的安全管控之後,很容易就會遭到惡意人士的入侵利用,成為資料外洩的管道或是攻擊他人的跳板,本文簡要說明了端點安全的防護重點。
企業組織在建置資訊安全管理機制或是安全技術產品之後,通常會經過一段所謂的蜜月期,在這段期間內,企業組織的高階主管通常會很放心,認為自己的組織不用再時時刻刻擔心要面對安全的問題,資訊主管或安全主管也準備開始休假,因為一切都已建置妥當,看起來天下太平。
真的是如此嗎?讓我們來看看實際的情況。近來發生某位高中學生入侵總統府網站的實例,雖然只是出於好奇,也沒有造成損失,但是網站被入侵卻是不爭的事實。在之前,國際VISA及MASTER信用卡組織發生被入侵的事件,據信造成八百萬筆信用卡用戶資料遭竊。而更早之前,全世界的13部Root Servers有8部遭到入侵停止運作。
以上三個案例的管理機制建置都非常完整,安全技術產品建置也相當完備,為何還會讓事情發生?常見的答案經常以「道高一尺、魔高一丈」來帶過,主要的理由多半是駭客的技術不斷的提升,稍有疏忽,安全防護建置就功虧一簣了。但真的只是如此而已嗎?
當顧問公司來協助企業組織導入管理機制或安全技術產品時,通常會協助企業組織建立一些標準作業程序,也就是俗稱的SOP(Standard Operating Procedure)。
一旦專案結束,顧問們離開後,這些標準作業流程是否持續運作,能否依照已制定的管理政策分派權責就是企業組織接著必須面對的事情。
要讓花費數百萬元建立的管理機制以及數千萬元的安全技術產品完全發揮作用,完整且持續的運作,得以保護企業組織的資訊安全,有幾件事情是筆者建議企業組織必須繼續執行,而且一定要落實的事項。
 |
| ▲持續改善的PDCA循環 |
教育訓練
一般而言,企業組織在一開始導入資訊安全管理或安全技術產品建置時,顧問公司至少會提供兩次以上的資訊安全認知以及管理建構的教育訓練課程,有些顧問公司甚至會為企業組織設計相關的訓練機制,協助企業組織所有的員工了解資訊安全的重要性,以及如何將資訊安全的要求內化到日常的工作之中。
但是大部分的情況是只要假以時日,特別是在專案結束與顧問離開之後,企業組織的員工會漸漸淡忘導入資訊安全的初衷,或是新進員工沒有接受相同及完整的資訊安全教育訓練。
將資訊安全的教育訓練融入員工的年度訓練計畫中是一件必須且持續的工作項目。為了避免新進員工不了解以及資深員工忽略資訊安全的重要性,降低資安的危機感,企業組織必須將顧問所提供的資訊安全教育訓練課程納入企業整體訓練計畫中,而且內容必須不斷的修改,以配合企業組織的成長、企業目標的調整,以及安全技術的提升。
人事部門及安全部門在這個議題上扮演了非常重要的角色。人事部門必須依據企業組織的成長及變化,對不同層級的員工規劃不同的訓練課程,而安全部門則必須提供課程的內容以符合需求。
安全檢查
顧問在協助企業組織導入資訊安全管理及技術建置時,通常會根據企業組織的型態及架構,建立檢查機制與資料收集,例如弱點分析、威脅分析、風險管理、資訊資產評估、網路安全評估等,以確保這些制度能符合及保護企業組織的資訊安全。
在建立這些檢查機制的同時,企業組織一定要留下完整的紀錄,並確保有內部員工及管理幹部了解及熟悉這些機制的運作方式。一旦顧問們離開後,組織必須具備自我檢查的能力,並依此建立定期檢查的運作模式。
原因在於,資訊安全建置並不是只要做一次就能做得好的事,企業組織一旦決定建立資訊安全管理機制,持續性的安全檢查則是讓這個機制持續有效很重要的一環,唯有定期且持續的檢查,才能預防資訊安全事件的發生。
定期檢討
企業組織是一個存在著變數且隨時會改變的變形蟲,不論是策略或者是管理政策,不論是網路架構或是應用系統,都會隨著組織的改變而必須隨時調整,因此企業組織有必要定期或不定期的檢討由顧問公司協助導入的資訊安全管理或技術產品架構。
現行的資訊安全及相關政策是否不足以提供現有組織結構的安全保護及指導方針?現有的網路安全技術產品是否足以保護企業網路不被入侵?弱點及威脅分析是否已經過時?隨著組織架構及時間的改變,定期檢討相關的事項是必要的。
紀錄保存
顧問公司在協助企業導入資訊安全管理及技術產品建構的時候,一定會要求檢查所有資訊安全的相關紀錄,企業組織應該要建立這些紀錄的管理系統。一旦顧問離開,組織應該要具備相同的能力,在每次執行自我安全檢查時,除了更新這些紀錄以外,同時要比對這些紀錄在過去與現在的變化。
例如,通報病毒事件的種類及次數是否減少?網路流量異常是否有跡可循?內部控制及稽核紀錄是否完整?教育訓練是否留下課程及簽到紀錄?是否確定所有的員工都接受程度及內容不同的訓練?完整的紀錄可以協助企業組織於事件發生的時候,依循軌跡找出問題的根源,一次解決問題,避免安全事件一而再、再而三的發生。
獨立稽核
當企業組織建立資訊安全管理架構,為了證明所導入的架構符合國際標準的要求,通常會依照ISO 17799/BS 7799的規範舉行評鑑,已證明所導入的架構符合國際水準,並取得認證的證書。這樣的認證並不是只要做一次就結束了,通常在通過評鑑認證的未來三年內,認證公司都會再每六至八個月檢查一次。
這樣的檢查對企業組織而言,是為了確保整體資訊安全管理架構隨時保持在最佳的狀態。
一旦超過了三年的時間,筆者建議企業組織最好每年再徵詢獨立稽核單位來檢查一次,而且是由不同的單位來檢查,經由不同的單位依據經驗提供不同的意見,企業組織可以廣納良言,隨時為自己的資訊安全做適當的調整。
不論是在資訊安全管理或安全技術的導入之前或之後,最重要的一件事情就是企業組織最高主管的支持,不只是參與及口頭上的支持而已,最高主管必須提供資金和人力上的支持,同時必須身體力行,作為全體員工的表率。
導入資訊安全管理架構或事件至資訊安全技術產品,都是企業組織必須投入大量金錢、時間以及全體員工人力的一項艱鉅的工作。企業組織在導入管理架構或是建置安全技術產品之前,一定要詳細的規劃,仔細的評估,選擇適當的顧問公司與適當的安全技術產品。
一旦建置完成,企業組織更要對未來的規劃預做準備。同時也要將資訊安全管理納入企業組織的總體目標之一,時時刻刻的提醒所有員工,千萬不要忽視資訊安全的重要性,以避免一旦發生安全事件,其所造成的損失可能是投入建置資訊安全管理架構或安全技術產品的數百倍。
因此,筆者再次呼籲,站在企業組織永續經營的角度來思考,資訊安全絕對是一件必要而且是絕對要做的事,千萬不要以為這樣的事件不會發生在自己的身上。我們應該做好準備,保護客戶、股東,以及全體員工的權益。