作者:William “Bill” Malik(趨勢科技 CISA基礎架構策略副總)
我們最近在喬治亞州的亞特蘭大與十數位資深IT安全主管進行了一次寶貴的談話。我很榮幸地參與他們對最感困擾事情的討論。
底下是一些他們所關心的事情。
許多公司的商業環境面臨著巨大的變化,有三分之一的公司認為高速收購成為一種風險來源。
收購導致資訊安全資源被大量地消耗。首先,IT安全部門必須在實際收購前參與盡職調查(due diligence)階段。InfoSec團隊必須在巨大的時間壓力及NDA條款的嚴格約束下驗證目標環境 IT基礎架構的完整性。必須對基本程序的可信賴性、支援團隊的能力、資金和人員配備的適當性、政策和教育訓練的有效性,目標公司根據任務變更所做出安全技術判斷的適用性及關鍵訊息的可存取性做出評估。對於受監管產業,收購方必須審查過去的認證、稽核發現和建議以及早期的安全事件,包括如何處理這些事件及組織如何有效地將經驗教訓整合進最新的業務運作模式。一些與會者報告在過去兩年或更長時間內每六週會進行一次收購。這樣快速的步調要求高效的流程成熟度和團隊成員間的開放溝通,以及充分的信任。
有些資訊長報告了平衡管理團隊所必要知道跟讓團隊專注在關鍵活動的管理期望間所面臨的挑戰。對於董事會和最高管理層來說,IT仍是個熱門話題,而 IT 安全是已知的漏洞。這讓有些組織開始對IT安全團隊進行微觀管理。眾所周知,這樣不恰當的關注有兩個代價:首先,它讓董事會和高階主管無法專注在主要任務上。其次,它也讓進行這項工作的人無法專注。一種被採納的有效策略是每週(甚至每日)通報。這份文件提供了進行中專案的狀態,最佳績效人員的注視,新發現漏洞的評估以及領導層能夠帶進各自營運領域的有效風險緩解指示。當董事會成員對團隊有所疑問時,資安長可以攔截該問題並透過通報發出回覆。
許多資安長討論了自帶裝置(BYOD)政策所遇到的挑戰。有些提到對於 一般資料保護規則 General Data Protection Regulation (GDPR) 的擔憂,會阻礙他們清除員工所擁有裝置內公司應用程式和資訊的能力。目前尚不清楚該如何平衡業務需求和智慧型手機的隱私問題。關於筆記型電腦,一種作法是限制只能用安全VPN連到受控制虛擬桌面環境來進行企業內部存取。懷有惡意的員工仍可能會直接對螢幕拍照,但這樣的攻擊對公司的筆記型電腦也同樣適用。
變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)及網路釣魚(Phishing)(可能導致勒索病毒 Ransomware感染)仍然令人擔憂。一種作法是忽略來自新網域(不到兩個月)的電子郵件,這可以排除幾乎所有的惡意電子郵件;在正常情況下,任何想要與員工洽公的人都會及時想辦法再聯絡。
這次會議開放且充滿樂趣。能夠參與討論是我的榮幸,期待將來能夠再召開類似的會議。由衷感謝參加來賓!