現今資訊安全威脅不斷增加,攻擊者憑藉更加複雜且不斷變化的攻擊形式不停地圍攻企業。這些威脅的產生速度帶給安全專業人員龐大的壓力。當資安部門要維持一個安全的IT系統時,經常需要在安全、成本和使用者工作效率與滿意度中取得平衡。為了避免無謂的妥協,企業對內部的安全使用規範須採取靈活的因應措施。實施IT資源的可接受使用政策,是達成這個目標的一種關鍵方式。
很多企業在尚未制定可使用政策之前就投資購買各式各樣的安全產品,這種方式不但沒有解決安全問題,反而增加了各種不必要的資金和人力成本,因為IT人員需要不斷的部署、更新、監測和管理設備,還要支援用戶需求。企業花了龐大的費用打造堅固的防禦系統,但是複雜的管理方式不但沒有降低成本,反而增加IT人員的工作負擔。
 |
| 林鴻源(M86 Security大中華區副總經理) |
所有資訊安全系統的建置最終目的不外乎是要保護機密資料、穩定網路系統、提昇網路效能、促進商業交流。最近的研究調查發現,84%的機密資料其主要外洩來源來自內部,甚至超過駭客或病毒感染。
現今的安全威脅多數來自於電子郵件和網際網路資源的應用以及行動儲存設備。舉例來說,電子郵件中藏有許多訊息,是企業日常營運與溝通的命脈。 這些重要的工具可能接收和傳播不安全或有害的網路威脅,例如電子郵件和網路傳播的惡意軟體、病毒、垃圾郵件、間諜軟體、駭客攻擊和阻斷服務(DoS)攻擊等可能對公司造成無法彌補的損害。
雖然現在有大量的技術可以減少外部的威脅,內部的威脅則需要靠公司制定適當的可接受使用政策(AUP),搭配完善的安全防護工具以及全面的內部教育,才能獲得由上到下的支持,共同遵守與推動。
關於可使用政策,不同的產業對於使用規範需求都不一樣,注重的層面也會不同。舉例來說,金融重視安全法規的適用性、客戶的個人資料保護,以及系統的穩定度;製造業重視產品研發以及財務相關資料、醫療注重的是病患的個人資料和病歷的保護與保存;政府部會重視國家安全資訊保護與民眾服務系統的順暢、電子商務交易重視客戶的隱私。因此,制定使用規範時應先訂定企業的目標,在達成公司目標的範圍內,針對需求給予不同的部門不同的權限使用權,並且針對使用規範的目的,從安全、法規、資源的有效運用以及企業競爭力等層面對內部員工進行教育與溝通,而不是單向的抑制它引起員工反彈。
靈活的使用政策加上充分的內部溝通,不僅可以保護企業安全,也能使員工的工作更有效率。