.

iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 14
1
IoT

物聯網風險性之探討系列 第 14

DAY 14 第十四章 風險類別-營運風險-感知層:4.8假標籤、4.9 設備更新/版本控制

  • 分享至 

  • xImage
  •  

筆者常提到內控、內控,不知道大家知不知道"內控"是甚麼?其實這是企業內部各個單位,所訂出的書面管理辦法,那麼這套管理辦法,一定會其他部門互有連結,簡單說,不管甚麼部門,你要申請費用,一定會寫費用申請單,這些都有一定的流程,而這些流程將其書面、制度化,就變成一套SOP的管理制度。

我們強調這些制度,是由各部門自己去訂定,這些訂完的管理制度,就是"內部控制"(簡稱內控),內控有沒有其規範? 答案是有的,因為企業必須要受外部查核,例如,會計師等等,如果公司都在玩自己的,那麼外部人看不懂的情況下,它們無法有效且快速的發現問題,因此,在雙方都能有效的溝通前提下,公司也要配合外部單位進行調整,讓外部人來協助公司對外發布大家都能接受的訊息,例如說:財務報表等等。

講那麼多,到底跟我司的IoT、電腦資訊系統、資安等等,有甚麼關係呢?我又不用對外公布?幹嘛要弄個標準化,套死自己呢?

這個問題,明天我再解釋....還是先進入IoT的文章吧!


https://ithelp.ithome.com.tw/upload/images/20200926/20107482FeMLG224IB.jpg

風險類別--營運風險--感知層
4.8假標籤
《新聞分享》:他亂掃QR Code被盜帳號 警提醒不明假好康別亂點
(新聞來源:聯合新聞網 2020-02-06 https://udn.com/news/story/7320/4138132 )

《筆者分析及建議》:

假標籤的風險,在目前隨處可見的QR code就是其中一種,由於這些假標籤非常便利,所以很容易被連結到Line等通訊軟體上面,進而發散假訊息至好有名單,造成一連串的資安問題,因此,來路不明的假標籤切勿隨便選取。

企業假標籤可分為內部與外部,外部假標籤就如同上述的QR code,可能會造成企業商譽的損失,因此在降低這類風險時,就要注意稽察的工作,在網上隨時公告相關訊息,如果是產品被廠商改標,例如零售商未經同意改標,此類就以原史紀錄及合約內容,進行法律上之訴訟,避免商譽流失。

另一種內部的標籤改標,例如對於部品的標籤改標,導至系統上數量內容不一致的情況出現,這就要藉由強化內控的方式,減低管理上的風險。


4.9 設備更新/版本控制
《新聞分享》:小心!防毒軟體例行更新成營運中斷新變數,一銀因更新衝突上週四一度eATM服務短暫失靈(更新防毒廠商回應)
(新聞來源:iThome 2017-08-22 https://www.ithome.com.tw/news/116384 )

《筆者分析及建議》

以新聞實例來說,這事件說明了實務上的落差,雖然最後廠商說明並非防毒軟體更新的影響,但下面這段話也說明了,有關這類內部控制需要修正作業程序:

「這類防毒軟體更新內容,資安公司在正式發布前需要測試新版本內容,檢驗更新內容是否存在安全漏洞,也要確保在所有OS環境內不會產生任何系統衝突,來保障防毒軟體最新版本的品質。不過,實務上,原廠無法針對每一種服務,或者是特定產業性質的用戶環境來測試,多半由經銷商負責進行,…」

此類風險,在物聯網裡面也是存在的,有可能是作業系統更新或者APP更新,導至整個大當機,所以資訊部門在訂定內控辦法時候,就需要考量到系統更新之後的風險,在作業程序內訂出備援處理的方法,同樣的,硬體設備更新、韌體更新也都要在內控裡訂定清楚,有依據的情況下,先造SOP排解問題,同時連絡廠商,真的無法處理,也要立即公告,通報協助,降低企業之損失。


上一篇
DAY 13 第十三章 風險類別-營運風險-網路層:4.6 客戶「固化」程序(嚴謹程序)和雲端環境之間的衝突、4.7 數據提供者與數據使用者缺乏信賴
下一篇
DAY 15 第十五章 風險類別-授權風險-應用層:5.1 存取權限管控、5.2 資料所有、5.3 資料分享給第三方團體權、
系列文
物聯網風險性之探討30
.
圖片
  直播研討會

尚未有邦友留言

立即登入留言