事實上,業者並非一定要花大錢,才能做好資訊安全的工作,因為許多的安全問題,並不是出於資安產品設備不足,大多數的安全問題,主要都是來自於人為的因素,因此除了必要的安全產品之外,以下的幾項重點工作,都是不需要重大支出,而且無論組織的規模大小,都是能夠馬上進行的重要工作。
- 定期更新組織的資安政策:
為了傳達管理階層想要落實資安的決心,組織必須要依據營運的目標與客戶的期望,制定一份適合的資訊安全政策,因為資安政策代表著組織高層的重視與要求,必須要讓全體員工能夠理解,並且願意來共同遵守才行。由於資安政策的內容並非一成不變,需要跟隨組織的成長來隨之調整,因此建議在一定的期間內,就要進行重新檢視修訂,以維持內容的有效性。
- 檢討營運流程中有關資料的管控方式:
有些組織在面臨資安事件時,往往會選擇頭痛醫頭、腳痛醫腳,卻忘了分析自己真正的問題位於何處,其實最簡單的方式,就是自我檢討在營運流程中,各項資料的存取方式與交換管道。如果電子商務業者能夠依據本身的營運情況,制定資料存取的標準作業流程,同時保存相關的存取記錄,這種作法即可大幅降低發生資料外洩的風險,並且能夠達成有效的資料安全管控。
- 對相關人員實施足夠的安全訓練:
如果業者沒有足夠的經費,可以讓所有員工參加由外部舉辦的資安教育訓練活動,事實上也可以透過組織本身的力量,尋求並鼓勵優秀的內部人員來擔任種子講師,藉此即可對於一般人員實施資安訓練與宣導。一旦員工具有了安全意識,往往資安事件發生的機率就會降低,對於相關的資訊或資安人員,也可鼓勵其參與由政府或民間業者所舉辦的資安研討會,除了可以獲得新知,更可直接提升人員的專業水準。
- 確實修補已知的資訊安全漏洞:
針對作業系統、應用程式及開發工具,相關廠商都會定期發佈系統更新或修補檔,這些也都是不需要花大錢,而且相當容易取得的資源。所謂亡羊補牢,還不算晚,借道別人的痛苦經驗,讓組織得以盡快地處理和修正,往往可以免於遭受池魚之殃。
除了加強各項安全控制措施之外,電子商務業者在資安事件管理方面也是需要重視的,尤其是一旦發現資料有可能遭到竊取而外洩時,就應該在第一時間內通知消費者,並盡快進行後續的補救措施,以避免事件一發不可收拾,而造成更大的損失。
以2007年電子商務業者PayEasy網站為例,當時發現了大量來自中國地區的連線IP,不斷以帳號密碼比對的方式,企圖竊取會員個人資料。業者除了在第一時間進行技術處理封鎖IP,以確保帳戶資料安全之外,更迅速地以簡訊方式通知網站會員,要求會員盡速更新其密碼,並且也立即向刑事局偵九隊報案,請求必要的協助與調查。之後,隨著新聞媒體的披露,加上會員陸續接到詐騙電話,業者更主動設立了詐騙回報專線,來協助消費者因應可能面臨的詐騙問題。
對業者而言,選擇正面應戰或許是一項痛苦的決定,但卻是最正確的決定,雖然冒著被新聞媒體所做的負面報導,可能會損及企業形象的風險,但事實上在事件發生之後,管理階層立即決定要盡快通知消費者和通報相關單位,反而為電子商務業者的形象大大地加分,這個案例更可做為一個敢負起責任的電子商務業者的最佳模範與參考。
 |
圖4 EC-CERT可協助業者緊急處理資安事件
資料來源:http://ec-cert.org.tw/,2013年
|
沒有留言:
張貼留言