iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 5
2
Security

推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。系列 第 5

先安內後壤外: 跟著衛生安全觀念做資安體質改善

承前幾天的文章,那我們剛起步,是不是就一定要依照NIST/ISO27001的框架走?或是找顧問輔導?還是即日起開始各家資安廠商介紹各種特效藥?到底要以何種概念去規劃整體資安?

中央研究院資訊服務處處長陳伶志表示,「從歷來資安事件可發現,大多是因為輕忽基本工作落實,逐一盤點與落實能改善資安體質」。

既然剛起步,把馬步紮穩、資安體質建立起來是關鍵,不妨跟著個人衛生安全(防疫)的概念來做資安,兩者有異曲同工之妙,請看下表比較比較:
https://ithelp.ithome.com.tw/upload/images/20200920/20129755b5B9C0D7Us.png

這邊提的都不含額外增購的設備喔,那些設備像是威脅偵測(高級顯微鏡)、ATP防禦IPS(COVID19防護衣)都需要較高額的投資,這邊強調的課題重點是【把自身的基礎保護做好,就有一定的資安防護力(疾病免疫力)】
https://ithelp.ithome.com.tw/upload/images/20200920/20129755vgykJzphMf.png

身為內部IT的你,一定多少清楚這些已知的體質問題點,這些問題點有沒有已經帶來傷害過,可以拿過往實績出來冷飯熱炒一下,證明你的擔心不是空穴來風。

另外,別急著想對策,許多直覺能想到的對策經過POC後不一定理想,且有些症狀經分析後甚至可以指向多重破口,故要帶入多重防禦機制,達到攔阻、封鎖、嚇阻、拖延、告警或規避風險的效用。

https://ithelp.ithome.com.tw/upload/images/20200920/201297558QgqhqxIhz.png
(圖片引用自動力安全網頁)

從0到70的關鍵基礎即在此,基礎能談能做的範圍已經很廣了,在有限的能力範圍內盡本分就能收到一定的效果。

(至於從70~90、90~95那又是另外的層次了,先把體質打好方可更上一層樓)
https://ithelp.ithome.com.tw/upload/images/20200920/20129755MMmpQDLqLf.jpg

延伸閱讀與參考資料
【從「勤洗手與戴口罩」學防駭】企業與個人都該有資安衛生習慣,落實與持續是重要關鍵
從防疫學防駭
重新架構內網盤點老舊系統,中研院紮好基本功正面迎戰網攻
科學方法評估成熟度 逐步強化資安體質


上一篇
先安內後壤外:企業內部資安推動三隻箭
下一篇
先安內後壤外:內部風險控制的選擇與排序
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2020-09-20 03:14:34

基礎紮好,NIST也比較容易,否則第一個Identity識別就很花時間了。

真的真的,初期的Identity/資產盤點識別會很厚工,老舊主機、臨時開的設置、總總歷史包袱不斷冒出來,永遠都有驚喜XDD

「驚喜」說得好^^

我要留言

立即登入留言