回到頂端
|||

蕃新聞

熱門: 呂秋遠 妙禪 羅致政

資誠:保護皇冠上的寶石 新世代資安策略

中央社/ 2016.05.30 00:00
資誠:保護皇冠上的寶石

新世代資安策略

(中央社訊息服務20160530 09:53:37)資誠聯合會計師事務所、玉山科技協會、常在國際法律事務所及讀書共和國於日前舉辦「資訊安全論壇」,資誠企管顧問公司執行董事張晉瑞受邀發表「建構下個資安世代的信任新思維」專題演講。

城牆遲早會被攻破

保護好皇冠上的寶石

張晉瑞指出,傳統的資安防護觀念就像是中古世紀在城堡周圍建立護城河和堅固的外牆,以抵擋敵人入侵,主要著重在預防與保護,以降低資安事故發生的可能性。然而,在「萬物皆連網,萬物皆可駭」的世界,威脅者已轉變為有組織性、針對性,由組織利益或政治考量所驅動,資安風險狀態從靜態轉變為動態且廣泛,傳統中古世紀的「牆」,已然無法抵擋二十一世紀的威脅。

張晉瑞強調,二十一世紀資安策略的風險管理方式,首先要接受「城牆遲早會被攻破」的事實,也就是接受資安事故終將發生,風險管理重點放在減少對企業衝擊。換言之,企業要先找到「皇冠上的寶石」,找出對企業最重要的資產並排出優先順序,再依照重要性,提供不同層級的保護。

網際安全架構

減少資安衝擊

張晉瑞並提出「網際安全架構」(CSF, Cybersecurity Framework)的概念,其五大控制模式分別為識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)以及復原(Recover),協助組織管理安全風險,並提供高層良好的資安透明度及視野。相對於傳統只注重保護,這樣的架構以全面、完整的資安管理生命週期來減少對企業的衝擊。

最後,張晉瑞指出二十一世紀的資安管理可分為六大面向:一是風險,以信任管理的角度看待商機,建置符合 ROI 的風險管理,同時考量資安及個資的法律影響。二是關連,合作夥伴的風險也是企業本身的風險,必須瞭解及管理合作夥伴及廠商生態系的風險。三是人員,企業員工是重點,必須建立信任管理、信任文化與認知,包含內部威脅管理資安文化及認知。

四是科技,以投資管理的角度解決基本問題,建置符合 ROI 的資安控制、資安預測及分析。五是危機處理,資安事故不是假設而是何時發生,必須建置即時偵測及危機處理、回應機制。六是優先順序,科技及駭客技術不斷演進,資安是永遠做不完的專案,企業應以資源管理的角度,設定保護標的及資安資源的優先順序。

張晉瑞強調,建立「信任」是企業永續經營的關鍵,在資安領域上,企業除了符合ISO等規範、落實與深化資安保護,更重要的是,必須建構與企業目標一致的資安策略與CSF網際安全架構。從合規、保護到信任,建立社會對企業的信任為目標,以驅動企業永續經營。

訊息來源:資誠聯合會計師事務所

本文含多媒體檔 (Multimedia files included):

http://www.cna.com.tw/postwrite/Detail/194401.aspx

社群留言