您的企業是否已為雲端和行動趨勢做好資安防護?

IBM 與經濟學人智庫 (Economist Intelligence Unit; EIU) 共同發表最新調查報告「企業雲端成熟度評估」。報告中顯示，雲端運算已成為企業 IT 的主要營運模式。在接受訪問的全球 750家企業中，有三分之一的企業認為其內部已有 60% 以上的服務是透過雲端運算提供給客戶，顯示全球企業已邁入「雲端企業」時代！

當您的 IT 基礎架構因行動裝置和雲端的成長而變得更緊密互連的時候，傳統企業的界線正在消失且使用者不斷擴張。為避免組織的 IT 資產被不當使用和破壞，您會需要一個全面的身分和授權管理方案來監控與管理整個企業的系統授權、資料，以及來自任何裝置、服務或來源的應用程式。

為協助企業提升資訊安全防護能量，IBM 在累積多年的全球安全防護經驗後提出十大資訊安全基礎實務 (10 Essential Practices)，協助企業了解目前的安全防護機制是否足夠完整：

1. 風險意識文化：確認企業內的每一位員工都認同資訊安全防護的重要性，瞭解資訊安全威脅將會帶來哪些潛在風險，並且有一套對應的管理機制。
2. 快速反應威脅：確認企業是否有建立一套可以快速反應各種安全威脅的智慧資訊安全偵測平台，以及是否有因應資訊安全攻擊的變化循序優化該平台。
3. 行動裝置安全性：確認企業員工使用的協同平台、社交媒體或者是行動辦公環境是安全無虞的。
4. 具有安全性的產品設計：確保企業在產品服務的設計、研發與生產等階段都有考慮到資訊安全防護議題並且進行相對應的防護工作，舉例來說，企業開發人員在開發應用程式的過程中就要有安全防護意識，並且透過一些手法有效防堵駭客的滲透攻擊等。
5. 使用IT產品的習慣：透過定期的軟硬體更新、升級與維護等方式確保企業資訊系統架構的安全性與整潔性。
6. 網路安全性與彈性：透過定期檢測等方式確認企業的資訊安全防護網路的穩定性與強固性。
7. 雲端與虛擬化應用：了解雲端服務與虛擬化應用，並且設法逐步完善。
8. 第三方合規性：確保企業員工與客戶、夥伴、供應商溝通的平台安全性。
9. 資安防護與隱私保護：因應個資法等法規要求落實資料安全防護與隱私保護。
10. 數位權限生命週期：透過數位權限生命週期管理強化企業的資訊安全防護能力，舉例來說，當員工換部門或離職時，企業是否有即時修改系統權限，除此之外，企業是否有定期更新資料庫與伺服器等資訊軟硬體設備的帳號與密碼也很重要。

除了透過上述十大資訊安全核心基礎實踐確認與完善企業的資訊安全防護能力，企業資訊部門是否能轉以服務的角度提供安全防護機制的資訊服務給全體員工，並且因應業務、研發、生產、行銷與行政等不同部門需求建立對應的資訊安全緊急應變計劃：準備、偵測分析、排除復原與事後行動，將左右企業的資訊安全防護能量，有效降低損失、保障關鍵資產、分析根本原因、回復正常營運，以及避免同樣狀況再次發生。

原文出處：

• 落實資訊安全防護的不二法則：資安評估與緊急應變計劃
• 10 essential security practices from IBM

comments powered by Disqus