商周

啟動成功關鍵,隨時掌握商周.com最新資訊

提供第一手新聞解析、財經趨勢、專屬活動

已加入收藏
已取消收藏
帳號頭像 帳號選單下拉箭頭
/
熱搜內容
現正閱讀
資安不只防駭客、還要創造價值!中小企業資訊安全,從資料治理做起
畫重點
段落筆記
新增筆記
「請稍等」英文別直接中翻英說please wait a minute!一次掌握,常用的電話對談英文
0
/500
不公開分類 公開分類
儲存
至頂箭頭

管理 | 數位轉型

資安不只防駭客、還要創造價值!中小企業資訊安全,從資料治理做起

資安不只防駭客、還要創造價值!中小企業資訊安全,從資料治理做起
資訊安全的3大面向是:人員、技術及流程。最容易著手的是員工,一定要提高員工意識,不過,即使要求員工上課,如果沒有持續在日常營運中實踐安全行為,只會流於形式。 (來源:Dreamstime/典匠影像)
撰文者:李郁怡
摘要

資安威脅年年創新高,2022年統計,網路偵測被攔截的惡意程式檔案數量暴增 242% 。中小企業更成為駭客眼中的新肥羊。

重點1. 提升員工資安意識是對的 但光是上課沒有用
重點2. 資安是數據治理底層基礎 企業必須找出高風險弱點
重點3. 外包廠商必須可以長期信任 不能成為防護弱點

中小企業2022年面臨的網路攻擊次數較前一年同期狂增4倍,光靠傳統資訊安全防護措施是不夠的。

這個場景發生在9月商周CEO學院〈數位領導力〉課程。兩位學員分享自己親身遇到的資安威脅:

學員A /中小企業CEO
我們員工看到mail,以為是供應商要求,沒有透過電話查證,就直接匯款出去。剛剛發生的時候,我們都很納悶,我們有嚴格的財務線上流程呀,簽呈與付款的每個關卡,怎麼都看不出來?其實後來發現,駭客很可能已經長期潛入在公司資訊系統,連e-mail都改得很像是我們供應商的,觀察你知道你在做些什麼。我覺得,比起買什麼硬體或軟體防護,員工的意識才是最重要的。

學員B/中小企業二代
我們曾經遇過,郵件伺服器被駭客入侵,但因為這個伺服器是外部的廠商在代管的,我們遇駭時,問廠商發生什麼事,他們好像完全不知道我們是他們的客戶,查了半天也沒有回應,整個狀況外。最後處理完之後,雖然我們也換掉了這個廠商。但損失還是發生了。

廣告-請繼續往下閱讀

安永企管諮詢公司副總經理陳志明擔任〈數位領導力〉客座,以「數據治理與資訊安全」為題,分享他的觀察。

他指出,與前兩年相比,上市櫃公司被法規要求設資安長、取得ISO 27001等認證,防護力較過往提升;中小企業不像上市櫃公司擁有龐大資源。但這並不意味,中小企業就做不了資安控管。

重點1:提升員工資安意識是對的 但光是上課不夠

當前,多數企業領導人看待資安,仍然覺得只要委託專業或技術人員就好,是資安或是技術部門要負責的,不覺得有必要提升到「治理」的層級。

也因此,台灣多數企業對資料管理還停在各個部門各管各的,不同系統之間交換資料困難;隨著企業加快數位化的腳步,機聯網、物聯網進入日常營運,資料快速累積,可被攻擊的接觸點增多,資訊安全風險可說比過去任何時候都更高。

廣告-請繼續往下閱讀

這時如果企業有企圖心要善用數位科技,運用資料來創造商業價值,這時一定要討論到資料要怎麼管,資料運用如何與創新策略、變革管理配合,光靠技術人員是管不了的。

「資安是數據治理的底層結構, 底層結構上面有業務 、行銷、產品管理、專利管理,你要在維護資安前提之下,建立一套你對於數據治理的看法。這件事情並不容易。」陳志明指出,因此,資安管理不只是要防止駭客來偷,還要不外流、不損失、創造價值。

資訊安全的三大面向是:人員、技術及流程。如同學員A分享的,最容易著手的是員工,一定要提高員工意識。

不過,即使要求員工上課,如果沒有持續在日常營運中實踐安全行為,只會流於形式。

重點2:數據治理底層 資安防護要找出高風險弱點

「各位學員,你的公司裡有沒有人,既做管理職,又管財務,還能夠隨時拿到顧客資料?拿到研發資料?」「這個人如果拿著資料走了,你的公司會怎麼樣?」
陳志明問現場學員。

員工職離之後,帶著客戶名單與專利資料,跳到對手陣營,是常見的資安漏洞。

對應機敏資料外流,有制度的公司一種做法是,有意地造成資料的斷點,例如,直接將研發分為硬體與軟體不同團隊,限制不同部門員工只能看到一部分資料,再透過流程結合,完成產品研發;另一種做法則是請顧問公司來全面檢視資安脆弱點。例如,在去掉個人識別後,分析有沒有哪些員工是容易跳槽,或他的網路行為看起來是有比較大機會外流資料的。

「知道之後不是說,『這個人就是不能信任』,而是要看,脆弱點在哪裡?」他接著提醒學員,「有沒有那種,「一旦發生公司就沒辦法營運的?會倒閉的?」弱點一定要找出來。

重點3:外包廠商必須可以長期信任 不能成為資安弱點

中小企業還有一種情況是,因為資源有限,經常會將重要的伺服器、資料倉儲,還有資安維運交給外部廠商。

「但這個廠商是不是有值得長期合作?值得信任?」他指出,要辨別這點,很可能不是表面的評估就夠的。舉例來說,有一家資訊服務公司做某種特定交易APP,市占率高達9成,這個行業裡有九成企業都委託它來做。當然這家公司很可能是很好的,但從某個角度來說,一旦這家企業資安有漏洞了,這九成企業都同時曝險。

中小企業的資安脆弱點,可能是密碼太弱,可能是系統管理員沒有發現,員工在下班之後將VPN用在別的用途,也可能是外包的廠商,你的供應商資安能力太弱。甚至將重要的伺服務直接放在外網,沒有安全機制設計。

如何避免這些問題?陳志明建議,第一是要善用科技,因為靠著資料分析,其實是可以找出高曝險的脆弱點;第二,是要重視資料治理,將其融入日常的營運。而在進行管理時,除了企業內部人員,企業會接觸到的利害關係方,例如合作廠商、客戶、主管機關、會計師、律師等,也必須納入資安計畫,有相對應的管理程序,為資料使用建立規則。有了這樣的意識,資安管理才會上軌道。(全文完)

★更多精彩內容、現場問答、教授實戰經驗,歡迎報名商周CEO學院-CEO領導學程

下滑箭頭 下滑載入更多報導 下滑箭頭
駭客 數據 資料治理 資訊安全
商周CEO學院課堂筆記
商周CEO學院課堂筆記
商周CEO學院製作人群
展開箭頭

《商業周刊》累積30多年採訪經驗,薈萃10,000實戰個案,打造全台獨創的〈商周CEO學院〉——集結兩岸隱形冠軍、商周報導人物在此交流,客座教授群傳授經驗與心法,結合理論與實戰,培養更多企業領導人,做個打勝仗的CEO。想了解更多學程?https://bwlearning.businessweekly.com.tw/ceo-college/

廣告
留言討論