本文出自

數位抗疫力

數位抗疫力

趨勢科技台灣暨香港區總經理洪偉淦:以風險管理思維 掌握資安議題

專家觀點》掌握七大關鍵,防護滴水不漏
洪偉淦
瀏覽人數:1739
藉著疫情肆虐的動盪時期,網路詐騙的問題也跟著益發猖狂。趨勢科技總經理洪偉淦觀察到這個問題,提出七個關鍵點,協助企業確保資安問題。此外,洪偉淦更呼籲企業領導人,必須以風險管理的概念來管理資安議題,才能真正有效降低風險。

疫情橫掃全球,讓許多經濟活動停擺,但卻絲毫沒有抑止網路詐騙的熱度,根據趨勢科技近期觀察,網路詐騙甚至變得更加猖狂!

疫情肆虐下,大家對資訊的需求變得更加迫切,詐騙集團瞄準這點,針對熱門議題設計釣魚郵件或網址,竊取用戶帳號密碼後,藉此入侵企業或組織網路;或是利用許多企業倉促改用遠端工作的時機點,偽裝成看似合法的視訊會議軟體,暗中偷渡惡意程式,入侵企業內部竊取重要資料;更有些駭客會利用疫情為藉口,詐騙對方必須更改付款帳號或付款方式,更大膽地進行商業郵件詐騙。這些既有的詐騙手法,過去大家警覺性高,而且容易查證,但疫情衝擊下造成許多不可預期的改變,也導致聯繫未如以往順利,因此讓詐騙集團有機可乘。

其次,則是個人使用習慣導致網路風險增加。過往大家習慣在公司,使用已經做好防護的公司內部網路與設備,但如今在家工作成為新趨勢,未做好資訊安全防護的家用電腦成為「防駭破口」,讓駭客可以輕易地從家用電腦駭進企業內部網路;同時伴隨著物聯網設備的普及,不論是使用原始出廠帳號密碼,或是不易修補弱點的特性,都很容易成為駭客入侵的管道。

遠距工作掌握七大關鍵 守護企業資訊安全

趨勢科技身為全球網路資安解決方案領導廠商,我建議所有的企業和組織應掌握以下七大關鍵,在展開遠距工作時,全面強化資安防護作業:

1. 雙因素身分認證。建議組織成員在傳輸重要資料時,除了帳號密碼外,還有另一項認證手段來確認使用者身分。

2. 透過VPN來從外部存取內部資料。當員工必須存取公司內部資料時,會透過系統發出、加密後的「虛擬私人網路」(Virtual Private Network,VPN)來取得資料,並限制員工使用的權限與時間。

3. 制定遠距工作安全守則。最好是使用公司配發已經做好資安防護的電腦設備,如果必須要使用到員工個人的電腦,則必須要求先安裝並定時更新防毒軟體。

4. 使用合法視訊軟體。確定選用的視訊軟體是透過官方網站下載,才能避開內含惡意程式的偽裝視訊軟體。

5. 更新作業系統。許多人會延遲作業系統發出的更新訊息,請務必定時更新作業系統。

6. 強化員工家用IoT設備防護。員工個人確實修改家中物聯網(IoT)設備設定的帳號密碼,並定期更新。

7. 小心勒索病毒。定期做好重要資料備份工作,降低被勒索病毒盯上後可能發生的重要資料損失風險。

過去企業要降低資安風險,只需要管理好公司內部網路,但啟動遠距工作後,資安戰線拉長到每一個遠距工作的員工家中,徹底落實資安防護觀念,才能讓企業在疫情中勝出。

破除資安迷思 「安全」度過轉型陣痛期

然而,員工畢竟是資訊安全戰役中相對被動的一環,他們的行為準則很大部分全賴上層領導者的要求,這時,「由上而下」導正資安的迷思,並擬定相對應的策略,才能讓資訊安全真正內化成為企業文化的一部分。

首先,絕大多數的企業領導人把網路安全工作視為「成本」或「技術問題」,就我們服務許多企業用戶的經驗中觀察,資安做得比較好的企業領導者,是將資安視為重要的「管理」議題(風險管理),如同管理財務風險一樣,不管任何業務營運規畫,都必須要將資安風險納入考量。

其次是「面對現實」。既然資訊安全是風險管理,企業領導者就必須理解到,我們只能有效降低風險在可承受的範圍之內,而非一味追求零風險,進而鼓勵員工公開談論網路曝險問題,及早發現公司內可能出現的資安漏洞。及早介入,以免出現無法承受的資安炸彈。

打破資安迷思後,企業領導人可以著手設定公司網路風險的合理目標,充分授權資訊安全給各部門一級主管,並讓每個部門都很清楚理解,一旦爆發資安問題,會對各個單位產生的衝擊為何。如此一來,才能幫助員工在面對核心業務與資訊安全相牴觸的狀況時,主動地做出正確的決定,才能真正有效降低資安風險。

這波疫情,勢必加快企業在數位轉型的速度與力道。我建議領導人要先思考企業在數位轉型這條路要走往何處(數位轉型的目標),如果未來將會高度依賴資通訊技術的話,就要做高強度的資安規畫,並仔細思考數位轉型後提供的新服務模式,針對細節一一分析威脅可能產生的破口,愈早將資訊安全放入企業策略思維模式中,所付出的成本也就愈小。



洪偉淦

趨勢科技台灣暨香港區總經理


本篇文章主題新冠肺炎專區