法規遵循也是資安防禦的一法
對於,我們實作超過十年時間的《個人資料保護法》,今年五月持續增修以強化保護大眾的個資外,對政府機關與企業而言,除了是鞭策力量,也是讓大眾更有信心將資料交付出去。我們綜觀來看,或許機關與企業,亦可以從法規遵循的角度,進行企業資安的防禦,讓資料外洩事件的機率降低,避開損失。
莊明雄表示,法規的遵循亦是資安防禦的一法,無論是從制度面或是規範面著手,大家可斟酌自身企業的規模大小、政策要求,以及營運需求進行法規指引的依循與導入,例如非營利組織,開放性社群的OWASP(Open Web Application Security Project) 其長期於全球協助政府與民間企業的網路安全標準、技術,最有名的則為「OWASP Top 10」提出資安最常見的弱點,並且提出對應的防護建議。還有一些是制度上的規範,例如ISO27001(資訊安全管理系統)、ISO27002(資安規範)、ISO27037(資安人員),至於框架的規範,則為這幾年全球依循美國國家標準與技術研究院NIST公布零信任架構(Zero Trust Architecture,ZTA)的SP 800-207。 對於一些特別產業機構來說,也有對應的安全認證,例如與軍方國防相關的網路安全成熟度模型認證(Cybersecurity Maturity Model Certification ,CMMC) ,IEC 62443針對「工業通信網路-網路和系統的IT安全性」(Industrial communication networks – IT security for networks and systems)的國際標準。
除了具備硬實力 軟實力亦不可忽視
現今,網際網路與通信科技,雙向蓬勃興起,其所帶動資訊與通信科技(Information and Communication Technology, ICT)的時代來臨,然而我們不應全部仰賴設備。莊明雄分享四個資安政策,期許能融入企業的日常運作中,他表示企業即使具備完備的軟硬體設備,如果員工資安教育訓練未具體執行,企業的資訊安全性將會大大的打折,由此可知員工資安教育訓練是最重要的資安政策,例如持續性對員工宣導不隨意亂下載來路不明的檔案、不連結怪異的網站。軟硬體設備政策部分,則是企業應將資訊安全納入成本之一,同時採購具備一定的資安水平設備。資訊管理對策的部分,牽涉到了管理的部分,同時也牽動到相關供應鏈的合作夥伴,例如協力廠商、客戶、外部單位等,該如何管理系統權限區分、如何落實帳號的管理等機制。
莊明雄表示當員工、設備、管理均就定位,其實還有一政策最為關鍵,那就是「緊急應變能力」尤其是負責資訊資安的人員,持續加強自身這方面的能力,對於資安事件發生去主動瞭解問題的所在,將過去學習的經驗與平日所聯繫的合作夥伴進行快速溝通,共同協作解決問題,這才是落實,當資安事件發生,處變不驚的面對與處理,如實應證4W1H (When何時發生、Where哪裡出現問題、How如何發生、What哪些可以佐證、Who找誰可以追查來源)。
首圖來源: 取自Unsplash by Bryzgalov R2CAjGQ0gSI