安全必須是每個IT項目的優先考慮,由於國際間打擊不力
,網路犯罪活動只會更加猖獗,而攻擊變得更為複雜且犯罪組織更具協作性。要在肆虐的安全威脅下自保,資安專家及CIO們必須對資安五種主導性要求做好應對準備。
2014一如以往,事故有增無減,網路威脅與資料洩露等事故以幾乎永無止境之勢一波波襲來,給零售業、銀行業、遊戲網路以及政府機關等行業造成巨大衝擊。雖然安全問題本身並不會出現顛覆性的全新變化,但新形勢主要表現在此類威脅的複雜性與精密程度方面。
互聯網已經成為一片越來越大的犯罪分子淘金地,他們在這裡通過各種不法手段賺取收益,包括中斷企業及政府的服務,從中竊取資料圖利。很多大型機構還完全沒有意識到黑客的手法已經非常先進。企業必須為安全問題做好準備,保證自身有能力防禦大部份的攻擊,以及作出應變的能力減低事故後的影響及損失
2. 隱私與監管大部分政府機構已經建立隱私相關的條例,旨在保障個人可識別資訊(PII)資產的受到保護,而未能確切遵循相關要求,未對上述個人資訊加以保護的組織將面臨法律訴訟的風險。企業組織需要將隱私作為一項合規性與業務風險問題進行考量,從而減少監控制裁以及各類業務成本,例如企業信譽受損以及因隱私侵犯導致的客戶流失狀況。
而全球不同區域所採取的監管機制在彼此結合與雜糅之後,很可能讓企業面臨更為沉重的負擔。這一趨勢能夠得到進一步持續與發展,從而在安全效能之外,從加強對個人資訊濫用作出規管。如果企業中已經聘請了內部法律顧問,那麼他們的作用就是提供更善的建議,例如企業可視歐盟對於資料洩露法規與隱私保護制度的基準作為考標準,並據此草擬起資訊安全規劃。
3. 來自協力廠商供應商的安全威脅供應鏈是每一家企業在全球性業務運營體系當中的重要組成部分,資安人員們要關注自身企業在面對無數風險因素時的資訊開放程度。供應商往往能夠共用到一系列有價值甚至是敏感性資訊,而在資訊處於共用狀態時,控制機制未必能發揮作用。這無疑將導致資訊在保密性、完整性以及可用性等層面面臨更為嚴重的安全風險。
即使是看似無害的連接也可能引致被攻擊的可能性。攻擊美國連鎖家用品店Target的黑客就是利用空調供應商作為攻擊跳板,用於提交發票的網絡服務應用程式進行惡意活動的。
協力廠商無法保障其所涉及資料的機密性、完整性以及可用性,各類規模的企業都需要認真考量供應商帶來負面意外狀況的可能性,其中具體涉及智慧財產權、客戶或員工資訊、商業計畫或者談判內容等等。而這類思路對於負責制造或者分發的合作夥伴也同樣適用。
企業需要一套持續性規劃,結構良好的供應鏈資訊風險評估方案能夠提供詳盡的分步式實施方法,從而將複雜的項目工作拆分成一個個易於完成的步驟性目標。此類方案應該由資訊驅動而非以供應商為中心,因此能夠在不同企業環境下具備可擴展能力與可重複利用特性。
4. 辦公環境中的BYOD趨勢BYOD趨勢已經客觀存在,但目前來看,幾乎沒有多少企業能夠真正就此開發出良好的政策方案。隨著員工不斷將自有移動設備、應用程式、雲儲存等引入企業網絡內環境,不同規模的企業逐漸發現防禦工作難度已經達到前所未有的艱辛,風險貫穿企業內部與外部,包括設備本身管理不善、針對軟體漏洞的外部利用以及未經嚴格測試且非可靠性業務應用的部署等等。
BYOD狀態下工作與個人資料邊界模糊以及大量業務資訊由未受保護的消費級設備所持有及訪問,所以建立一套具備良好架構的BYOD實施方案,準備最差的情況,制定管理政策,使用戶在合理的範圍內利用個人設備增加辦公效率。
5. 自動化管理流程這一話題,不能不提企業當中最龐大的資產兼且最為脆弱的目標:人。企業已經花費不菲去購買技術,再好的科技也不敵按錯一個掣。所以推動資訊安全意識的工作,此類方案改變員工行為方式,依靠每一位員工對於職責及正確實踐方式的認知對抗各類潛在安全風險。
不過事實已證明,這種主張根本無從實現,相反,企業需要以更為積極主動的安全態度調整自身業務流程,將員工由風險根源轉化為企業安全事務中第一道防線。從本質角度看,人為因素應當是一家企業強大控制體系中的重要甚至核心組成部分。企業真正該做的是引入積極的資訊安全控制手段,從而將「三思而後行」作為組織中資訊安全文化中的一大良好習慣與立足根基。真正的商業性驅動力應該在於風險本身以及如何利用新型應對方式降低此類風險。
資安敵人不只是黑客? 了解五大工作範疇
https://www.facebook.com/hkitblog
