有關雲運算、流動設備、IT消費化和BYOD等趨勢對企業保安的挑戰不絕於耳。上周假香港會議展覽中心舉辦的「第十三屆資訊保安大會」,亦圍繞着相關議題,探討企業的資訊保安前景。
今年,大會以「企業備援的資安思維」為主題,邀請了多名分析家、首席資訊保安總監及專家,一連兩日探討資安思維與IT基礎設施,以及IT消費化和流動趨勢如何影響各行各業。
資訊安全須重新定義
會上,英國資訊保安權威與前瞻者David Lacey,剖析了現時資訊安全標準的不足,並向與會者闡釋他參與編寫的資訊安全管理國際標準BS 7799。
Lacey認為,在流動化趨勢、資訊順手拈來,以及IT消費化的影響之下,現時的資安思維需要革新和反思。他進一步促請業內的首席資訊保安總監,將資訊安全列為危機管理之一,並且放棄在企業外圍築起重重保安圍牆的守舊觀念。
縱使不少網絡保安廠商表示,近年炙手可熱的流動設備,和BYOD所帶來的網絡保安並非新鮮事,智能手機既非新產品,而流動網絡保安問題,早於企業員工採用筆記簿型電腦時,已謀求相應對策,認為現今的IT消費化和BYOD所面對的保安威脅,與當日針對筆記簿型電腦等流動設備大致相同。
就此,Lacey並不苟同:「企業確可在網絡後端架起圍牆,針對使用者身份採用不同保安政策。然而IT消費化和BYOD的保安問題,比過去的流動設備複雜得多,法規遵從亦是另一挑戰。企業在允許BYOD的同時,亦須考慮員工自攜設備一旦被入侵或遺失,企業是否有權利遙距刪除所有數據,包括員工個人資訊在內?還有,員工在個人流動設備上,安裝未經驗證之流動應用程式,又應否受到管制?這些矛盾都是從前不曾遇過的,沿用舊有保安政策,已追不上今日的資訊保安威脅。」
雲運算無聲滲透
企業近年紛紛走向雲運算,縱使為保安着想,僅部署私人網雲,然而公共網雲的保安漏洞,往往已滲透企業而不為人知。
前高科技罪行調查協會分會主席,FTI顧問公司董事總經理Richard
Kershaw指出,不少大企業因僱員使用免費雲運算服務,如Gmail、Yahoo! Mail、Dropbox等,以致公司未能符合法規遵從要求,更往往導致文件外泄而不自知。他就曾有客,戶旗下管理層相繼過檔競爭對手公司,故懷疑他們離職前已向新僱主透露公司機密。調查後發現,原來這批管理層非常僅慎,從不以公司電郵或免費電郵,向對頭公司發送敏感資料,但曾以Google Docs的檔案分享功能,讓非相關人士可經由Google,擷取設定成「分享」狀態的公司機密文檔,不留下表面痕跡。
「除非嚴重罪行,否則執法機關一般不會要求Google協助徹查會員曾否登入及下載涉案文件,企業難以搜證。因此即使員工按企業保安指引,不使用免費電郵及可移除式儲存裝置(USB),亦同樣有可能開啟漏洞,令企業防不勝防。」
沒有留言:
發佈留言