2013/06/06-賴姿侑
從個資法的議題上,讓我們看到各界逐漸將資安焦點轉移,對資訊安全的眼光已從保護大型企業擴展到使用者身上——有效的降低個人資料外洩的風險。但扣除大型企業及使用者隱私保護之外,仍有絕大多數的中小企業在資安的領域毫無頭緒,探究其原因,問題卻常出在中小企業本身內部。
「沒人、缺錢、不知道」,已成為中小企業面臨資安問題的最大罩門。對中小企業來說,資訊人員的數量往往是屈指可數,不僅如此,資訊人員還要包辦所有軟、硬體的維護,包含各類應用系統的開發與維護、作業系統管理、資料庫管理,甚至個人電腦、印表機、網路、伺服器、防火牆、防毒系統、資料備份與災難復原、機房、不斷電系統…等等。而在人力以及資源有限的情況下,光是要確保上述這堆複雜的系統正常運作,又要兼顧資訊安全,是一件非常不容易的任務。
根據Verizon最新的報告,從已被證實的621個資料外洩研究案例來看,將近一半發生在員工數少於1,000名的公司,其中193例事件發生在員工數少於100名的實體公司。網路犯罪可能發生在企業的整個網路,從總公司到資料處理中心或者遠程辦公室。雖然總公司和資料處理中心被精心保護著,但其分支機構卻常常出現安全漏洞。隨著安全威脅和複雜攻擊的擴散,駭客會嘗試利用任何網路中的薄弱環節。因此,絕不能任憑企業面臨資安問題而毫無因應。
中小企業如何抓對重點做資安
在中小企業資訊安全管理中,首先必需瞭解資訊安全的範圍,經歸類後大致可分為下列四個領域:
一、人員安全:防止人為的疏忽、濫用或誤用資訊及設備。
二、環境安全:防止環境的問題所造成資訊及設備的傷害。
三、實體設備安全:防止設備因不當的安裝、設定及使用,造成的資訊安全事件。
四、資料安全:防止資料遭未經授權之存取及誤用,並保護資料的完整性及可用性。
如何做好資訊安全管理
資訊安全管理大致可從「人員教育訓練」、「制度與作業流程的規劃及施行」,「資訊技術及工具的使用」三方面來著手。
人員教育訓練:企業裡的員工是資安防護重要的一部分,因為他們可能會被駭客誤導,或造成導致惡意軟體感染與意外資料外洩的錯誤。太多公司都未能正視與「使用者」有關的問題,事實上,使用者應該是資安防護的最前線。所以中小企業欲提升人員的資訊安全意識,唯有透過不斷的資訊安全教育訓練,以灌輸員工正確的觀念。
制度與作業流程規劃及施行:「山寨不崩,惟石為鎮,骨之謂也」,制度猶如骨架,用以撐起企業的經營管理。推行一套完善的資訊安全管理制度,雖然無法完全免除異常事件的發生,但卻可以降低及避免許多不必要的資訊安全風險和傷害,而這些可以降低的風險通常才是造成企業傷害的主因。
資訊技術及工具的使用:許多時候,企業內部雖有良好的管理制度,但真正要去落實執行卻心有餘而力不足,原因在於某些制度的落實,可能非常耗時費力,此時便可搭配工具來有效解決問題。
有鑑於此,全球網路安全知名廠商Check Point針對規模少於100名員工的中小型企業(辦公室),提供領先業界的安全技術推出1100設備,透過Check Point的SmartCenter,1100設備可提供靈活彈性、本機的Web管理介面,以及或是以不同profile為基礎的集中管理。外觀為輕巧的桌上型機體,可為企業分支機構和遠端辦公室提供完美的企業級的安全防護。
Check Point 1100設備擁有無與倫比的性能,包含最高達1.5 Gbps的防火牆吞吐量和220 Mbps的VPN吞吐量,其SPU得分(Security Power)為31分。
但值得一提的是,資訊技術和工具的使用,是來幫助解決制度上的問題,因此,企業應先有管理制度而後才評估選用工具,否則無法與企業的經營管理目標結合一致。
中小企業 資安未來
企業在使用資訊技術,享受資訊時代帶來的效益同時,伴隨而來的資訊安全問題,需要受到同樣的重視,才能保障資訊發揮最大效用。然而,目前台灣多數企業的安全防護措施卻仍破綻百出,以致於資安事件不斷地發生。
若中小企業能加強資訊安全認知宣導並健全資訊安全制度,落實企業的資料備份、備援及災難回復計畫,強化自我防護體質減少經濟損失,相信對企業經營、企業形象甚至社會大眾都會有所助益。 (本文由Check Point台灣區技術顧問樂家富先生提供,記者賴姿侑整理)