昨天介紹評估Assessment,記得無論是自我檢測或外顧團隊進行健診,檢測的準確性取決於資料有多正確、多詳細,不應為求報告好看而故意隱瞞,就好像去健身房鍛鍊,需要先掌握自己身體狀況,才能和健身教練擬訂計畫。如果真的顧慮主管對報告質疑,那自己默默填問卷和檢測表,掌握情況後做參考也可以,如實知道資安防護準備是否充足,才能應付層出不窮的威脅,下面繼續介紹評測方式:
如果公司企業必須遵守特定法規,有Compliance 法遵需求,或者已經選定ㄧ套資訊安全標準來執行,自然以「是否確實做到各項要求」為評鑑。例如Day10 將資料分類Data Classification一文中提到,美國的醫療保險公司,由於Health insurance Portability and Accountability Act of 1996 法案,必須遵守HIPPA Compliance ;教育機構由於Family Educational Rights and Privacy Act,必須遵守FERPA Compliance;電子系統進行信用卡交易,必須遵守PCI Compliance等等。我也遇過雖然公司不需要遵守特定Compliance法遵規定,卻還是通過認證,那間公司並沒有信用卡交易系統,卻有通過PCI Compliance的認證,來顯示它們資安措施完善,有達到PCI Compliance 標準。
公司企業也可以選定ㄧ套Cyber Security Standard資安標準作為規範,例如Center for Internet Security (CIS)制定頒布的 CIS Controls 和 CIS Benchmarks;美國國家標準技術研究所National Institute of Standards and Technology (NIST) 制定頒布的NIST Cybersecurity Framework (NIST CSF)及相關標準;也有從管理角度從IT Governance資訊科技監管著手,導入資訊科技監管信息及相關技術控制目標Control Objectives for Information & related Technology (COBIT Framework);或者導入ISMS資訊安全管理系統,遵守ISO27001/27002。
通常我會建議如果沒有法律、法遵上的要求,先從自我評鑑開始做起,了解目前資安防護準備情況後,再選擇導入資訊安全標準,否則花很多時間閱讀文件,了解這些標準,還要解釋給團隊希望大家遵守一個資安標準,卻連現在資安準備是否充足都不知道,豈非盲從?再者,有些標準可以當作基礎,還有提升空間,並非達到標準「就夠了」。例如PCI DSS標準要求一年至少四次Vulnerability Scan弱點漏洞掃描,是至少四次,而不是說只要四次,如果有完善的弱點漏洞掃描系統,每月、每週都可以掃描產生報表追蹤。
除了從管理、控制、流程上評鑑,評估如何應付資安威脅,還可以進行動態測試,例如進Vulnerability scan 弱點漏洞掃描,掌握目前網路環境內有什麼弱點漏洞需要進行安全更新,或進行Penetration Test滲透測試,實際測試駭客是否有可能輕易地侵入網路環境,現有設備系統是否能偵測、判別惡意行為,甚至寄發模擬釣魚郵件,看資安意識教育是否成功,員工是否有所警覺,還是點擊連結URL或開啟附件檔案等等,可以看多少員工回報、多少員工開啟附件,作為評測結果。
動態測試外,可以定期演練模擬情境,做Tabletop exercise,例如可以拿出Day 7 提到的企業永續運作計畫(BCP),訂下日期模擬一個災害狀況,測試備份和系統還原,確認RTO和RPO,確保大家熟悉流程、相關文件更新無誤;也可以測試Incident Response資安事件應變處理, 確認團隊熟知流程,蒐集必要相關鑑識證據,或針對特定的新興威脅進行模擬,在模擬的過程中確認是否能偵測、阻擋、防範,或者需要編列預算採購新的設備來預防。
以上簡單介紹一些方式,也可以上網搜尋一下廠商提供的資安健診服務包括什麼項目?怎麼進行?了解內容後自己針對類似內容進行評測。記得做完資安健診,拿到檢測報告,最重要的是擬訂計畫,針對高風險、防護不足的部份優先補強,下次檢測的時候也可以和上次報告比較,看有多少進步,逐年依據改善計畫,健全整體資訊安全防護。
「老子曰:知人者智。
老子又曰:自知者明。」- - 《火鳳燎原》
你有資安健診的經驗嗎?是自我評鑑還是外顧團隊評測呢?歡迎留言分享。
資安人科技網的文章:資安,從有做就好 到有效做好
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8548
如果資安可以營利,那很多企業會搶著做的,有沒有例外呢?
的確是有例外的....但是這是不能說的秘密!
這種公司自主會去做的事,連美國、中國....都會做。
資安對於公司是否營利?這可以從很多方面去分析,比較直接的是如果公司提供資訊服務(或商務網站),可以在公司網站上直接放上認證評章,對於爭取客戶有一定幫助。例如ITIL、PCI、NIST、ISO 27002等認證。