定期做資安稽核及風險評估,感覺好麻煩?「資安即國安」口號既出,將資通安全議題推送到社會大眾眼前,面對四面八方而來的威脅,無論是個人或企業皆無法棄之不顧。
金管會於2021年發布之「上市上櫃公司資通安全管控指引」,將是上市櫃公司資安的鮮明路標。不過多數企業對於落實資安、合規作法仍是毫無頭緒,若迫在眉睫之際直接拿出過往的資安策略修修補補,囫圇吞棗了事,並非良策。
您的資安策略超完美?切勿疏於評估、輕忽風險
根據趨勢科技(Trend Micro)研究統計,若製造業遭遇勒索軟體攻擊,其自動化產線的平均停擺時間為21天,每次停擺的財物損失更可能高達280萬美元(將近新台幣9000萬元)。直至2022年,製造業受到駭客攻擊的比例達58%,已取代金融服務業成為多數有心人士鎖定的目標。
雖然大部分的上市櫃公司具有一定規模,也有已設置多年的資安設備與流程,可或許,不存在完美的資安策略。因黑色產業鏈的蓬勃發展,主導惡意攻擊的駭客手法多變,從前做好的資安是否符合現今需求且有效防禦威脅,皆需要定期評估、檢視。
在「資通安全管控指引」中也提到,辦理內外部資安稽核後,應就發現之風險進行評估並擬定改善措施,視情況修訂資安政策與目標,達成持續精進的循環。修訂後的版本需呈核資安長等副總層級以上的主管,後續佈達、落實資安到公司的每一個角落,而為使管理階層理解企業資安,於董事會上定期呈報實施現況也將是必不可少的環節。
不用怕資安稽核!有效盤點資產以利評估風險衝擊
不論年中或年終,一旦稽核號角響起,各部門無不顫巍巍地等待稽核人員的到來,深怕稽核過程不順利、缺失單罄竹難書,工作量挾帶壓力排山倒海而來。建議平時就先做好資產盤點,比如說公司內部的Server數量、建置的系統等,皆紀錄成資產清冊以便後續管理與監控。
等級分類
資產除了分為硬體、軟體、資料、服務等之外,更需釐清所謂的核心業務與其系統、設備,進而為資產的重要與否分門別類。
可就發生營運中斷之事況時,遭受衝擊的程度分級:
【高風險】
- 機密等級資料洩漏。
- 核心業務系統或資料遭受嚴重竄改或毀損。
- 嚴重衝擊多個業務、系統運作。
【中高風險】
- 內部限閱等級資料洩漏。
- 影響核心業務運作或相關系統中斷服務。
- 影響重要業務、系統運作。
【中風險】
- 一般等級,非核心業務系統。
- 只是資料遭輕微竄改,業務運作遭影響或系統效率降低。
- 不影響重要業務、系統運作。
【低風險】
- 非核心業務之資產。
- 受到衝擊的損失程度很低,不影響業務、系統運作。
風險衝擊
資產分級與風險衝擊值可一同進行,用量化的方式將等級可視化,也是該資產的價值體現。
以資安核心三要素「CIA」做為主要評估成分:
- 機密性(Confidentiality):未經授權的資訊揭露,如個資或機密資料外洩。
- 完整性(Integrity):造成資料錯誤或遭竄改等情況,如資料庫毀損。
- 可用性(Availability):中斷資訊、資通系統的存取或使用,如營運中斷、存取錯誤。
權責單位
許多人會誤解身為最高權限管理者,IT人員就是資訊資產的主人--其實不然,資產的真正掌權人應為權責單位的主管,負責決策業務模式與執行目標,故進行風險衝擊分析時,權責主管可提供較為準確的辨識資訊,發生緊急狀況的當下也將由權責主管裁定後續作為。而因權責主管偏向決策面,為確保實際面執行,也可進一步紀錄該資產的使用者等相關人員,以利管理與教育訓練。
存放位置
稽核時,最常發生的窘況就是「有帳沒物」,它也許埋藏在機房的茫茫設備海中,還可能摸不透運作現況,彷彿船過水無痕一般,急得權責人員如熱鍋上的螞蟻。為避免找不到對應的資產,應確切紀錄其存放位置,包含異動、汰除皆需掌握去處,也建議企業拍照歸檔可辨認資產所在處與外觀的關鍵資訊,以便日後查找。
在此也要提醒新資產的入帳管理需謹慎、謹慎再謹慎,一旦有所疏忽,不僅存放位置及使用狀態毫無紀錄,經年累月的「有物沒帳」更導致未經稽核、盤點,跳脫管控範圍恐成資安漏洞。
維護狀態
除了存放的位置,企業資訊資產的維護狀態也不容輕視。運行中的設備或系統等,勢必需要定期更新韌體、弱點掃描、滲透測試,透過盤點檢視企業每一項資產的「健康度」,方能抵禦來勢洶洶的駭客攻擊。無人使用的閒置設備則可直接關機,以免成為惡意程式流竄的通道,後續再考慮是否回收、汰除。
定期風險評估將可持續精進資安策略
盤點及稽核的目的,並不是為了產出資產清冊跟開缺失單而已,要落實資安管理與監控,萬萬不可忽略風險評估。資產等級、風險衝擊值的區分與風險評估息息相關,針對各方面如自然災害、人為、環境、軟硬體與資安攻擊等威脅,找出自身的弱點,像是實體環境、系統程序、設計不良、管理不當等,評估該弱點被利用的程度與遭受威脅的可能性,再回過頭來檢視資安策略是否還有不足之處,將是持續精進的利器。
「資通安全」在社會大眾眼中比重漸增已是不爭的事實,包括您我,都不該抱持著僥倖心態,認為每一次資安危機皆可全身而退。
「資通安全管控指引」自發布以來,就成了上市櫃公司無法忽視的重要法遵議題,然而指引中的法條晦澀、難以理解,對照企業自身的資安現況後更是如墮五里霧中。
對於企業資安而言,不論虛實--看不到的系統或看得到的設備--只要存在於企業中便都是關鍵。因此,進行資產盤點、定期稽核與風險評估,讓資安策略與時俱進方為企業永續經營的生存之道。