【CloudSec會後報導】新世代資安問題 資訊長的面對與處理

現代的資訊長(CIO)不再僅僅是企業背後的推手,現在更是要站到第一線,為企業未來的發展從IT的角度來進行規劃。因此,資訊長們所負責的工作,逐漸的已經由「桌子下的工作」轉變成「桌子上的工作」。因此,在當前商業競爭激烈的環境下,各產業的資訊長們如何架構整體資訊環境,並且妥善建立資訊安全的規範與執行內容,就成為當前企業發展中最為人所關注的重點。

由資訊安全大廠趨勢科技所舉辦的CLOUDSEC 2014 「產業CIO面對面論壇」中,包括來自台達電子的資深顧問柯淑芬、信義房屋資訊長蔡祈岩、彰化銀行資訊處處長曾芳明,與趨勢科技台灣暨香港區總經理洪偉淦齊就資訊架構與資安的未來願景分享相關經驗與看法左起:台達電子的資深顧問柯淑芬、趨勢科技台灣暨香港區總經理洪偉 淦、信義房屋資訊長蔡祈岩、彰化銀行資訊處處長曾芳明。

【產業特性影響企業資訊架構】

在由資訊安全大廠趨勢科技所舉辦的CLOUDSEC 2014 「產業CIO面對面論壇」中,包括來自台達電子的資深顧問柯淑芬、信義房屋資訊長蔡祈岩、彰化銀行資訊處處長曾芳明,與趨勢科技台灣暨香港區總經理洪偉淦齊就資訊架構與資安的未來願景分享相關經驗與看法。主持人洪偉淦表示,在台灣各產業由於特性上的不同,對於相關資訊與資安架構的處理也有所不同。以電子製造業的台達電來說,研發流程中包含眾多專利技術,此階段中資訊架構部屬與資訊安全格外重要。

至於信義房屋是極端服務導向的企業,業務在外隨時要能夠透過資訊系統提供客戶貼心服務,因此個人行動裝置(BYOD)又是另一個關鍵。而金融業則是高度重視客戶隱私安全,並依循法規規定。就彰化銀行來說,整體資訊系統的發展主軸,就是「安全」兩個字。而且盡可能地降低風險,並兼顧服務客戶與資訊安全,是極大挑戰。

而在面對眾多的挑戰下,各產業的IT架構建置的現況為何?台達電子資深顧問柯淑芬指出,台達電考量研發與測試上的需求,已經完成企業內部的私有雲建置。在私有雲上,面臨Computer Power需求量日漸成長,亦著手建立虛擬機器環境。為使相關人員提出需求時,直接申請並大幅縮短時間。在信義房屋方面,蔡祈岩表示,現在內部觀念已經過渡”為何要”,進入”如何做”私有雲才是重點。至於如何做,蔡祈岩認為雲端應用是「端帶動雲」,因此所有的雲建設都要跟著端跑。目前,包括前端的客服網站與客戶管理系統等,均已上雲端。

信義房屋近期正發展建築事業,透過雲端應用來達到智能家庭的作法也是規劃的重點。蔡祈岩指出,智能家庭必須有與社區活動結合的必須性,透過雲端來建立智能家庭機制實為關鍵。最後,在注重各戶隱私的金融業方面,彰化銀行資訊處處長曾芳明指出,過去的「多一事,不如少一事」,不建雲端便無風險。但是金融業裡存在封閉的Mainframe架構為主,等同私有雲模式。不過近年來開始內部有私有雲建置,僅限於主管使用批核系統、電子郵件等應用為主。

 【資訊安全為資訊架構首要關鍵】

企業架設雲端運用後,如何防止資安問題,彰化銀行資訊處處長曾芳明表示,因為金融業高度法規遵循,因此未來資安架構規劃包括三方面 : 一是法令的遵守與研究,透過銀行公會的電子化委員會提供協助。其次是制度建立,包括彰銀今年要推行ISO27001 2013年改版,以及BS1001系統與全行認證等。最後就是在於執行層面的工程,包括透過顧問服務與資訊廠商的安全漏洞模擬攻擊等,可為增進資安防護。

至於BYOD使用狀況,以彰化銀行來說,總行內是完全限制員工攜帶行動化裝置上班。主管則由公司配發行動裝置進行公文批示、授信審核等作業,曾芳明是強調資料不落地的觀念。也就是資料只能閱讀,卻不能進行修改與下載的功能,層層保護以維護資料的正確性與安全性。相對於較為封閉的金融業,以服務為主的信義房屋對資安有不同的思維。

信義房屋蔡祈岩指出,目前全面正進行資安管理升級。三大重點,包括已完成的資料外洩風險控管,以及行動裝置資安管理等兩大項。蔡祈岩進一步表示,資料外洩雖然有個資法與營業秘密法的規範,仍待落實執行。行動裝置管理方面,因為行動裝置都是員工個人所有,如何取得資安管理與個人隱私處理間的平衡,是其中的重點。最後一項,社群網站上的個資問題,不論是截圖或傳送資料上網,通常會造成企業極大的傷害。未來一年內的管理方式,目前尚在設法中。

【如何包容與管理行動化裝置】

蔡祈岩再回過頭來談行動裝置,對於信義房屋內部所帶來的衝擊與影響時指出,過去員工對於電腦運算能力都是企業在內部賦予的,BYOD風潮當下,員工自給自足運算能力。所以,企業資訊長們現在該思考的不是如何去限制或管理員工使用自己的行動裝置,而是考量現行IT架構是否具備足夠包容性,廣泛地將其納入企業資訊架構中。思考IT治理過程,而非只是一昧地管制新科技在企業內使用。

最後再談到高科技製造業上,台達電柯淑芬表示,未來一年內的重點還是在資料的保護上;至於在虛擬環境的建置上,如虛擬環境應用的安全性,未來也是台達電必須考量的。在行動設備的安全上,須要尋求外界專業協助,以進一步建立起資訊安全的控管機制。不過,以目前現有機制而言,在廠區台達電是完全禁止使用行動裝置,而在辦公區則是部分開放。使用過程中,員工依公司規定透過認證與管理機制,以掌握行動裝置的資安問題。

最後,談到相關資安問題的檢核時,信義房屋蔡祈岩指出,當前最重要的除了從人的資安教育著手,以根本阻絕資安問題發生之外,系統主動與被動式的防護絕對不能少。而彰銀曾芳明則表示,企業內部不可或缺解決問題的標準作業方式,以迅速完整的處理。台達電柯淑芬則指出,由於運用眾多跨平台機制,所以如何透過蒐集相關登錄機制以分析危機於先前,將是目前製造業著重的問題。

按圖片下載 PDF 檔案
按圖片下載 PDF 檔案

 

本系列文章: 《CloudSec會後報導》趨勢科技獨創洋蔥式資安應變處理策略,有效降低APT入侵風險