一年一度的臺灣微軟Tech-Ed,從去年開始邀請美國總部的資安專家來臺授課,今年同樣由Steve Riley及Jesper M. Johansson連袂來臺,一方面解析駭客最新的攻擊手法,對企業提出資安建議,同時提昇企業資訊人員與程式開發人員在程式撰寫、系統開發、系統維護等工作上安全性。

談到企業應如何制訂自己的資安政策?Steve Riley表示,資安政策人人會訂,但是任何政策都有其弱點,所謂的資訊安全就是「自找麻煩」的工作程序,必須經過教育與學習才能有效推廣與執行,去預防原本不預期會發生的事件。

Steve Riley強調,並沒有什麼措施是萬無一失的,也不是安裝很多產品就能達到安全目的,因為問題或漏洞往往都在人的身上,以現在大肆風行的社會工程詐騙手法為例,技術本身並不高明,而是利用人性的弱點讓人上當,企業對內的安全教育訓練與分層管理都相當重要,很多工作必須從觀念宣導開始,再完善的設備防護也抵不上內部人員的疏失。

另外,企業資訊主管常苦於如何向經營者爭取資安預算,因為花的錢常常很難看到效益,往往得等到事件發生,老闆才會點頭,但Jesper M. Johansson認為,企業資訊主管必須有「不得不做」的覺悟,投資在資安上的效益的確很難評估,但是等到發生事情再做就來不及了,因為技術、系統、網路環境都持續改變當中,企業必須持續進行新的資安工作與建置。

Jesper M. Johansson還強調,預算高低與安全與否沒有絕對關係,產品並不能解決所有資安問題,儘管中小企業擁有的IT資源有限,只要預先評估企業本身能承擔的風險範圍,預算高低並不重要,掌握關鍵工作環節的安全更為重要,也就是所謂的投資價值、可承擔風險與防護措施間的平衡。文⊙高雅欣

熱門新聞

Advertisement