「安全像條鎖鏈,其強度取決於最弱的環節。」---【資訊安全技術應用篇】
資安事件頻傳,也喚起人們對於資訊安全的重視。這說來是好事,但人們對於安全的錯誤觀點卻可能讓維安的努力徒勞無功!很多人認為安全有程度之分,於是就像準備豐盛的晚宴一般;多加個兩道前菜,看起來會比較豪華吧!主菜的份量多點,看起來會比較豐富吧!多些飲料甜點會比較超值吧!但殊不知安全打從第一天開始就只是場零和遊戲,在沒出事前都是安全的,但不管付出了多大的努力,只要出事那就還是出事了!但若如此,那我們該如何看待安全?
作者:唐任威 恆逸教育訓練中心資深講師
資訊安全技術應用篇
│資訊安全管理
「安全是一個過程並不是一種結果」
因此企業必須要從組織營運的角度思考,安全對組織的價值是什麼?可以如何幫助企業實現營運目標。安全的實現可以分為人(People)、流程(Process)與科技(Technology)三點來看。人是組織運作的靈魂,沒有人,企業就只是一堆書面文件記錄。並且人也是資安事件的主因,因此如何確保人的行為符合預期是企業實現安全需要解決的第一個課題!而流程則是標準化的手段,在流程標準化之後,則一切可以衡量。可衡量就可改善、可改善便可精進,進而達到組織持續運作的目標。而最終,科技將可以讓流程自動化,進而提升效率,將組織運作的成本降到最低,增加組織的競爭力。至此企業組織將可以效果、效率兼備的實踐安全維運的目標!
│安全性評估
「We Don't Know What We Don't Know」
安全是一種透過各樣活動來保護資產不受危害的手段。其重點除了在於保障資產的安全,更在於如何確保防護措施的有效性。防護措施的有效性通常可以經由安全性評估來達成。常見的手法有稽核、弱掃與滲透測試。稽核是一種審查與評估防護措施有效性的過程。而弱掃則是用於檢查系統是否具有已知的安全性漏洞。滲透測試則是透過駭客技術專家去實踐攻擊活動,以確認防護措施的有效性。
「We Don't Know What We Don't Know」但反過來說呢?如果可以透過上述活動將已知的安全問題找出,那麼企業的資安將更有保障!
快學這招
資訊安全管理學習秘技:
0 意見:
張貼留言