圖一、金管會發布「金融資安行動方案2.0 」,總計 40 項措施可歸納為九大重點
擬定預算計畫別再憑感覺 資安投資報酬算給你看
資安防禦技術五花八門,從防禦外部入侵到防範內部資料外洩,每件資安防護工作皆不可遺漏,在此資安行動方案2.0中,即能歸納出九大重點,每一重點可說都是一項大型專案,包括核心資料保全與持續營運演練、建置資安監控機制、攻防模擬演練、導入零信任權限控管機制等。對許多剛走馬上任的資安長來說,企業可能因原先未設立資安長或是缺乏一套企業資安政策,因此以往都是在 IT 部門轄下導入資安設備與系統,進行單點式管理。然而如今企業內部資源仍然有限,但針對漸趨嚴格的資安規範,企業該如何進行最有效的投資?究竟該先買設備?先做演練?還是先教育訓練?長久以來企業在部署資安計畫及預算時,靠的都是過去經驗、憑感覺,甚至是出現資安危機後,才爭取到資源來亡羊補牢。對企業來說,即使是要亡羊補牢以避免再次遭受勒索病毒攻擊,但A廠商說先導入端點偵測軟體及時阻擋,B廠商說先做好災備機制及時復原,究竟誰有理?Electrum Cloud 蔚藍雲以多年策略諮詢與雲端技術經驗,提出「資安投資價值量化」方法論,藉由量化每一項資安投資的性價比及影響,進而協助企業制訂出資安預算計畫的排序。透過此一方法論,資安長能夠在每年資安預算異動,及企業有新業務擴展或新IT服務推出時,更精準的部署資安資源,不用再憑感覺做資安計畫,或者導入設備卻沒有真正解決問題。
以 ISO 22301 為框架,Electrum Cloud 蔚藍雲協助企業建置 BCM 計畫
除了資安防禦,企業也需建立完善的持續營運管理( Business Continuity Management, BCM)以及災難復原(Disaster Recovery, DR)計畫,相信曾有過被勒索軟體攻擊經驗的企業都能體會這件事的重要,而金管會也特別指出企業需強化核心資料保全機制以及備援演練。然而企業要強化資料保全或擬定災難復原計畫,不光只是靠建置備份或儲存系統那樣簡單,以ISO 22301持續營運管理標準當中的災難復原計畫來說,企業最終目的不只保全核心系統也需能保護員工安全,一旦發生災難能時,在目標內快速回復營運。由於災難復原是整體持續營運管理當中一部份,因此蔚藍雲在協助企業建置 DR 計畫時將以 ISO 22301 持續營運管理系統為框架,將客戶現況與 ISO 標準作差距評估,進而給予建議擬定DR計畫。要擬定符合標準的 DR 計畫 ,除了技術方案之外,還包括需制定企業各部門的角色與責任、災害事件應變小組、溝通與回應管道、各項業務活動的目標復原時間(RTO)以及保護人員安全等,有了這些才能確保發生災難時儘速恢復營運。同時加上設定RTO、RPO指標後,也才能進一步規劃相關備份與復原機制。實務上我們建議客戶善用混合雲架構,例如把既有的地端儲存系統結合Azure Site Recovery進行雲端災難復原,一旦發生緊急災難事件能立刻切換到雲端DR站台提供服務,在符合經濟效益下達到復原目標。
詳盡災難復原計畫應包括以上項目
除了將備份與還原機制搬遷上雲,越來越多企業也會將官網、數位服務放上雲端,使用協同辦公軟體或其他雲端運算資源,然而如此一來 IT 人員便可能需要管理不同雲端平台、不同帳號與權限,再加上原有地端環境,整個 IT 管理工作變得更複雜且容易出錯。針對上述挑戰,建議企業可以採取多雲資安方案來改善資安管理問題,例如:透過 Microsoft Defender for Cloud 在單一入口就能管理多雲環境,減輕 IT 人員學習不同平台工具的負擔,同時也能透過單一儀表板一覽多雲架構下各服務的資安環境,簡化 IT 管理複雜度。由上而下,從數位轉型策略規劃諮詢,到 IT技術評估與導入執行, Electrum Cloud 團隊將憑藉來自國際認可的策略諮詢框架與技術經驗,提供兼具管理實務與 IT 技術的專業服務,協助企業強化其持續運營的能力。
註 1. 金管會發布「金融資安行動方案」2.0,引導金融資安持續精進