2014年保安事故頻仍,除了頭號進階持續性威脅(Advanced Persistent Threat,APT)Stuxnet出現後繼者Havex,要脅贖金的Ransomware和分散式阻斷服務(DDoS)亦愈見猖獗。而隨著第三方平台技術如雲運算、流動化、社交媒體和海量數據的普及,亞太區的CXO管理層逐漸意識到,保安或會成為企業營運發展的一股阻力。
市場研究機構Frost & Sullivan亞太區ICT實踐分析總監Edison Yu表示,單純基於風險的保安的一大局限,在於大部分真實環境的部署並不會積極考究和利用新技術。而按業務所需的保安(Business Aligned Security)則有助加強以風險為基礎的保安方法。他續指出,許多亞太地區機構只關心遵從行業法規,而非著眼於真正的保安威脅案例。分析另顯示,基於風險的保安較之單純的法規遵從高一等,而按業務所需的保安則再棋高一著。有見及此,Fortinet宣布推出按業務所需的安全架構(Business Aligned Security Framework),助企業運用第三方平台技術。
風險就是保安幣值
Fortinet 東南亞及香港地區市場發展總監Alvin Rodrigues稱,要落實Fortinet Business Aligned Security Framework,業務及技術顧問必須重新思索客戶的企業保安需求,如企業最關鍵的業務、重要資產、運算速度要求等,然後針對客戶實際營運環境作最壞的打算、最好的準備。
「風險就是保安的幣值,哪些數據和業務最不容有失、風險最高,則最容易受黑客垂青。我們必須從別人的過失中學習,以去年Target和Sony的大型保安事故為例,因丟失敏感數據,令企業形象插水,不但影響公司股價,最後更要替換管理層以作交代。而Adobe則因為危機處理妥善和回應迅速,是以保安事故對股價影響降至最低,管理層亦毋須引咎辭職。這些實例證明了保安事故影響深遠,我們必須透徹了解組織架構和業務需求,從而制定相應保安策略,以便將損失降至最低。」
Fortinet Business Aligned Security Framework旨在助企業利用先進的資訊保安技術達成業務目標,並迅速使用第三方平台技術。憑藉該架構,與Fortinet合作的 IT部門即可聯絡其業務部門(LOB)負責人,獲得許可並著手部署。若沒有此類IT-LOB橋樑工具,則LOB決策者往往因實際或有疑慮的安全問題,而對業務改革技術望而卻步。
從上而下透徹識別網絡威脅
Rodrigues強調,現時不少保安部署已不再由IT部門主管作決定,而是由CXO直接與保安廠商磋商。因此業務及技術顧問必須仔細審視其客戶並了解其目標,了解客戶對企業保安的期望,從而清晰訂立保安方案能為客戶帶來的效益,例如高可用性、跨平台保護、回應迅速等等。企業必須深入探究其業務價值,並認清關鍵部分,以滿足上述客戶要求,同時識別關鍵業務的業務資產並提供支援。接著,業務及技術顧問須清楚理解企業風險與法規遵從需求,在兩者之間取得平衡,繼而制定全面的保安策略。
他們亦須了解網絡能見度及智能威脅,部署適當的技術,從而在企業建立資訊保安文化,指導員工如何識別不同的網絡威脅,並針對這些威脅作出相應回應。這樣做的目的,是讓這些企業決策人了解其機構之保安框架,使他們在回到公司後能與其他管理層、IT部門和利益相關者重複同樣的討論。
「不少企業深明第三方平台的優勢,卻往往因保安顧慮而卻步。Fortinet Business Aligned Security Framework正是為協助企業識別其業務關鍵資產,及安排保護的主次順序,令保安不再是業務擴展的絆腳石。」他續透露,Fortinet的業務及技術顧問將引入該架構,與東南亞及香港客戶的互動。
沒有留言:
發佈留言