下面給幾個企業常見的方向以供思考:
- 稅務資料是重要的。
- 財務資料是重要的。
- 客戶資料是重要的。
- 生產製程資料是重要的。
- 採購資料是重要的。
- 研發資料是重要的。
- 人事資料是重要的。
還有可能因為企業性質的不同,而有更多的類型。
但是,你有注意到嗎?
- 電腦的作業系統是重要的嗎?
- 辦公軟體是重要的嗎?
- ERP是重要的嗎?
- 網路規劃是重要的嗎?
- 儲存環境是重要的嗎?
為什麼不重要?
當企業將產出的資訊放在這些軟體或設備上,難道這些東西不該重視嗎?
其實,該重視,但是俗話有說:錢能解決的問題,就不是問題。
這些都是應該注意,卻不是要自己來處理的事情。
當我們將重要的資料放進保險櫃,難道就可以高枕無憂了嗎?
應該沒辦法高枕無憂,資訊還要透過管理,才能夠提高安全性。
上面的訊息您應該可以稍微體會應該要注意的事情了,接下來,問問你自己,擔心甚麼?
下面是企業常見的資安問題情境,供參考:
- 可以接受重要資料因為設備故障或損壞導致資料遺失嗎?
- 可以接受員工惡意或非惡意的刪除重要資料嗎?
- 可以接受員工將重要資料傳給不應該收到資料的人嗎?
- 可以接受員工把公司電腦當作網咖上網、看電影、聊天、玩遊戲嗎?
- 可以接受公司的網路或電腦三天兩頭出問題而無法使用或無法與客戶聯繫嗎?
- 可以接受公司員工利用即時通訊軟體串連罷工嗎?
如果上面的事情是不能接受的,那這些就是你資訊安全的需求的重點。
企業資訊規劃最常犯的一個錯誤是甚麼?
疊床架屋,想到甚麼做甚麼。
不是說想到甚麼做甚麼不好,但是容易發生下面兩個問題。
- 重複投資,採購了某個解決方案後,發現不完全符合需要,只好將就使用或重新採購。
- 亡羊補牢,企業常常都是已經發生某種資安問題後,才去找解決方案,這很容易跟第一項產生惡性循環,因為出了問題了,急著找方案,卻又未仔細評估,而買到不合身的解決方案。
那接下來,介紹幾種資訊安全工具與面向,細節與選購的考量點以後介紹:
- 防毒軟體
- 防火牆
- 閘道防毒 / 入侵防禦
- 網路行為管理 (稽核)
- 資訊應用行為管理 (稽核)
- 資料儲存與備份管理
- 資料可用性稽核與歸檔
- 網路合理化與存取控管
- 資訊系統可用性與風險管理
而企業在規劃資訊基礎與資訊安全解決方案時,可以去評量自己能夠容忍的損失有多少,這部分是很重要的,不是任何的資料都無法容忍損失,要知道,幫企業做到
60% 的安全性很容易,要做
80% 的安全性可能要花
60% 的兩倍支出,而要做到
95% 的安全性,可能要花
80%
的十倍支出,也就是說,正確的災害與風險管控可以讓企業減少支出並保有一定的資訊安全性。
我盡量維持一周一個專題的進度來寫,希望這個專題可以為企業或
IT 主管提供一些幫助。
對文章有問題,歡迎來信或留言討論,
內文歡迎轉載,但必須註明出處。faraday@esafe360.com
沒有留言:
張貼留言