延續上篇的機敏資料盤點要則,談到機敏資料的分級與管理,在分級過後,接著就要透過一些實務性的做法,監控資料出入的可能管道與方法,從郵件、列印、FTP、網頁到P2P,機敏資料的控管可能包括了系統及網路(管道),在本篇我們著重談到資料本身的管理,例如運用權限管理來控管存取控制來確保分級後的機敏資料,得到確實有效的保護。
在個資法通過後,大部分的政府機關及企業組織大多已著手進行相關因應,但就像剛開始的機敏資料分級談到的,有多少銀兩、做多少事,既不能每種解決方案都買,也有風險與成本投資平衡上的問題,這時,倒不如務實的先把存取控制做好,一邊就可以理出最適合組織的最佳管理實務,屆時,再搭配採購欠缺的設備來補強存取控制無法做足的部份。
流程面、角色的權限存取控管
針對機敏資料的管理,可以透過權限管理在既有的流程面上得到更加嚴謹的控管,例如說對於被保護的機敏資料存取,必須提供更嚴謹的機制,運用資料標示分類、角色存取控制、欄位/列存取控制、時間存取控制的方式,強化對被保護資料的存取管理。
資料標示分類也可以提供資安人員清楚定義不同資料的安全等級,以提供相對應的存取管理機制,接著運用角色、欄位/列、以及時間存取的控制方式,結合內部稽核管理方式,確保被保護資料不被任何非法的管道取得。
不過,角色的權限界定會隨著業務更動而改變,在一些業務變更快的產業更是一大挑戰,例如說電子商務產業對權限的界定是非常複雜而困難的,由於時常要推出新的業務,像是貨物迅速拓展到香港、大陸等通路,可能就會有輪調的狀況出現,權限的控管若未能與時俱進便失去意義。
為了要達到「最少的資訊揭露原則」,就要一一審視每個人的工作需求為何?之後,又要再對應到可能會有什麼樣的存取權限。而在組織變動如此大的環境下,可能就得定期審視工作說明書,才能確保人員權限都能適得其所。曾有過一個案例是-總經理特助擁有全公司所有系統所有的權限,原因是,總經理隨時都要看。但其實這是相當荒繆的事情,應該要有職權區分(SOD, Separation of Duty)的觀念,才能夠互相監督、制衡。
另外,越高層的主管越容易成為犯罪集團的目標物,以一個外部人士來看,要取得一個集團高階主管的名單,比起某個資訊人員更來得容易,也因此高階主管其實並不需要過多的權限,只要按照工作項目、角色去分配權限,而不是按照職權高低,因此高階主管權限原則是夠用就好,反而不應該有最大的權限。例如富邦momo資訊副總丁銘傳就曾表示,自己雖然掌管資訊部門卻沒有太多的權限。
權限控管的實務難題
企業組織中常見的現象就是人人身兼數職,因此,無論是業務的執行或是資訊系統的使用,常因為沒有適當的職能分工而造成作業缺乏獨立性,若資訊人員掌握了公司所有資訊系統的最高權限帳戶,除了可以在資訊系統上執行任何指令,甚至可以清除所有不法的紀錄,而使用者亦可以透過簡單的串謀來取得高度的權限,這時如果公司缺乏專業的監督,資訊人員以及內部員工幾乎可以隻手遮天,輕鬆的竊取、篡改,甚至藉由販售機密資料來謀取私利。
權限控管的實務難題
企業組織中常見的現象就是人人身兼數職,因此,無論是業務的執行或是資訊系統的使用,常因為沒有適當的職能分工而造成作業缺乏獨立性,若資訊人員掌握了公司所有資訊系統的最高權限帳戶,除了可以在資訊系統上執行任何指令,甚至可以清除所有不法的紀錄,而使用者亦可以透過簡單的串謀來取得高度的權限,這時如果公司缺乏專業的監督,資訊人員以及內部員工幾乎可以隻手遮天,輕鬆的竊取、篡改,甚至藉由販售機密資料來謀取私利。
IT人員反而成了企業內最大的資安漏洞,因此,內部的資料交換機制,建議可由資訊部門設計邏輯,但所有行為受到監控,例如IT人員負責將監控工具設定好之後就交給稽核來監看,但同時稽核也受到監督,環環相扣,形成互相制衡的權限控管。
除了蓄意的風險之外,員工的疏忽亦可能伴隨著過度授權而產生相當程度影響。許多作業的「執行」與「覆核」幾乎都仰賴同一個人來負責,如此的情況,就如同寫錯字的人再次檢查自己寫的文章,檢查出錯誤的機率將可能比第三方覆核要來得低,且獨立性也備受質疑,而只要是存在人工作業的環境,疏忽是絕對在所難免的,這也是造成資安事件無法有效降低的主要原因之一。過度授權所帶來的影響,也許會讓企業經營面臨難以復原的衝擊,企業仍應審慎衡量,在資安事件所帶來的損失與增加人力所增加的成本之間,找出一個適當的平衡點。
規模較大的公司分工較細,在層層的監控與覆核之下,問題將很容易被偵測到並予以解決,而中小企業因為規模比例的關係,只要一個小小的環節沒有注意,其所可能引發的風險將會非常地廣,影響也將非常地大。也就是說,大企業要掌握一個較高的風險,必須要在許多環節上進行控制,中小企業,則是掌握重要環節即可避免眾多的高風險。例如說至少2名資訊人員,相互監督,適當職能分工以避免過度授權。以及資安人員不再只當救火隊,至少應做資安事件的統計分析,找出關鍵風險並對症下藥,避免相同事件一再發生。此外就是以企業營運重點需求規劃資安標的、範圍與控制措施。
友善連結 : www.informationsecurity.com.tw/article/article_detail.aspx?aid=6785
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
除了蓄意的風險之外,員工的疏忽亦可能伴隨著過度授權而產生相當程度影響。許多作業的「執行」與「覆核」幾乎都仰賴同一個人來負責,如此的情況,就如同寫錯字的人再次檢查自己寫的文章,檢查出錯誤的機率將可能比第三方覆核要來得低,且獨立性也備受質疑,而只要是存在人工作業的環境,疏忽是絕對在所難免的,這也是造成資安事件無法有效降低的主要原因之一。過度授權所帶來的影響,也許會讓企業經營面臨難以復原的衝擊,企業仍應審慎衡量,在資安事件所帶來的損失與增加人力所增加的成本之間,找出一個適當的平衡點。
規模較大的公司分工較細,在層層的監控與覆核之下,問題將很容易被偵測到並予以解決,而中小企業因為規模比例的關係,只要一個小小的環節沒有注意,其所可能引發的風險將會非常地廣,影響也將非常地大。也就是說,大企業要掌握一個較高的風險,必須要在許多環節上進行控制,中小企業,則是掌握重要環節即可避免眾多的高風險。例如說至少2名資訊人員,相互監督,適當職能分工以避免過度授權。以及資安人員不再只當救火隊,至少應做資安事件的統計分析,找出關鍵風險並對症下藥,避免相同事件一再發生。此外就是以企業營運重點需求規劃資安標的、範圍與控制措施。
友善連結 : www.informationsecurity.com.tw/article/article_detail.aspx?aid=6785
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
沒有留言:
張貼留言