iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 4
3
Security

推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。系列 第 4

先安內後壤外:企業內部資安推動三隻箭

承昨日談,良好的安全控制可以為企業運作帶來效益,那麼,今天來談談企業IT文化,首先試問個問題:貴公司現在IT在公司內,運作的模式是偏向**"服務導向",還是"管理導向"**?
https://ithelp.ithome.com.tw/upload/images/20200919/20129755eTWQUZnAkR.jpg

  • 服務導向:IT今天配了一台電腦給USER,上面裝滿USER指定的軟體,交貨時服務到府,最終要請USER給予滿意度評分,未達5顆星得扣考績.....
  • 管理導向:IT今天從標準配發的電腦上,發現違反規定的盜版軟體,依據管理辦法進行通報與處置,亦依循週期性盤點進行端點安全性檢查,滾動檢討問題環節。

https://ithelp.ithome.com.tw/upload/images/20200919/201297557bW59jHu1l.png

昨日說過,無論管理還是服務,天秤太過偏向一邊都不太好,但台灣多數企業在管理文化上IT較為弱勢,屬於幕僚單位趨向服務導向,而服務導向是以方便為核心、安全風險擺後面的型態,能用就好、出事再說,長期下來潛在資安風險完全失控。

幸好,運用資安此千載難逢的機會,讓管理導向的另一端逐漸拉回來吧。

透過企業內推動資安,風險/危害提出來,取得長官認同由上至下,最終杯酒釋兵權回到管理框架中,此後內部IT可以不用這麼服務業,將心力放在安全風險管控。

您可運用下列三隻箭,可以逐步地把管理框架融入企業營運中,能控制才能收斂各種亂象,改善企業文化下的資安體質:

  1. 建立機制:把使用行為、服務範圍界定在一個有限的範圍中,使其風險可控。
    1-1. 制定管理辦法:有點像法律,將可行、不可行的行為標準定義清楚,明文規定罰則,讓高階主管簽署發佈,後續落實措施方可有法源可依循。若不知道怎麼寫,可參考ISO27001、ISMS的文件,或是google關鍵字"管理辦法"、"三階文件",照抄且依產業特性微調就有囉。
    1-2. 建立檢核機制:有管理辦法後依循PDCA,C的部分最容易被忽略,有檢核機制才能確保管理辦法長期有效、滾動式檢討修訂改進。
    https://ithelp.ithome.com.tw/upload/images/20200919/20129755Oyx0FR83yo.png
    1-3. 建立表單:承上兩項,這是"四階文件"的部分,把機制中需要表單、格式的部分匡列出來,讓申請人照表填寫。

  2. 落實+配套措施:使管理辦法所載的東西實際在環境中執行,落實安全性機制。(例如:發布USB管理辦法後...)
    2-1. 落實措施:這裡指的較跟我們IT直接相關,例如建立管控系統、從系統上限制、系統event log檢查。(例如:建立端點管理系統、從系統中設定停用可攜式USB儲存裝置存取權、檢查觸發此條件的紀錄)
    2-2. 配套措施:由於可能正常業務上還是有少部分需要使用,建議採配套措施讓衝擊不會這麼強烈,且在風險可控的前提下進行使用(例如:特定USB可以於公司內流通)
    https://ithelp.ithome.com.tw/upload/images/20200919/20129755aM6Pv9qL6t.png

  3. 宣導:實施之前的公告/教育訓練/說明會/Email,讓受管理的人清楚知道緣由、OK/不OK的界線、有什麼替代方法可以用、遇到狀況時找誰,指引說明。此舉不僅讓USER明白"我們要開始管了",也讓老闆看見你的價值。
    https://ithelp.ithome.com.tw/upload/images/20200919/20129755cmDqy9F6NM.png


上一篇
做資安往哪走:企業資安的定義與目的
下一篇
先安內後壤外: 跟著衛生安全觀念做資安體質改善
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30

2 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2020-09-19 01:24:30

最難的是老闆希望管理導向的嚴格制度保障安全,卻提供服務導向的便利想拿5顆星,真的難解呢~

老闆表示:"嚴格的資安制度"是用來管員工的。(恩...延伸的意思不好說~)/images/emoticon/emoticon02.gif

我要留言

立即登入留言