2012年1月30日 星期一

[觀點] 雲端運算安全入門(一) - 您了解雲端之上的安全風險嗎?

雲端運算是目前最熱門的資訊科技應用之一,透過無遠弗屆的網路連結與運算資源,讓組織可以獲得過去需要耗費大量成本才能使用的服務。不過,新科技的應用總有其風險存在,想要降低可能的安全風險,就有賴於足夠的認知和正確的應對之道。

在幾年前談到雲端運算時,它還只是一個趨勢和概念,許多人對於雲端都有不同的解讀與說法,甚至有人認為它只是舊酒裝新瓶的商業炒作,會是另一個網際網路上的泡沫。但是,隨著今日Amazon、Salesforce所提供的商業應用已相當成熟,Google、Apple所提供的Google doc、iCloud等服務,更讓一般大眾都能享受到雲端科技所帶來的便利與創新,雲端應用已不再只是一項口號,而是真正地實現在我們的生活之中。

面對雲端運算和其衍生的各項創新服務,有些先知先覺的開創者已經品嘗到甜美的果實,後知後覺的採用者也因為前人的經驗累積,逐漸地跟上雲端的腳步,但也有人因為不了解雲端,只是道聽塗說而害怕可能的安全問題,一直裹足不前的結果,反正讓自己錯失了良機,同時也失去了產業競爭力,這是令人感到惋惜的地方。

當然,雲端的應用並非全然都是正面的好,站在使用者的角度,我們必須先了解雲端先天的限制與部署的架構,才能讓它的應用符合自身的需求,同時也要明瞭可能潛藏的安全風險,才能進一步有效地駕御它,使其成為營運發展的好幫手,所以接下來的一系列文章,將帶領大家來一窺雲端安全的全貌。

2012年1月10日 星期二

[觀點] 解析資訊安全控制措施(完) - 資訊安全與法規遵循

上一次我們談到ISO 27001中有關如何避免資安問題影響企業營運的要求,以及在發生資安事件之前,應如何建立相關的事件處理應變流程,本文將說明在標準附錄的最後一項,有關法規遵循的控制措施。

在過去,每當與企業管理階層談到資訊安全的議題時,通常被重視的程度,大都遠低於和業務活動相關的事項。探究其背後原因,乃是當資安事件發生時,主管人員皆認為其可能造成的衝擊並不大,採取方式也往往是由內部人員來自行處理。

不過,隨著組織在營運活動上,愈來愈倚靠資訊系統的運作,再加上資訊可被傳遞的管道愈來愈多,讓現今的資安問題變得更加複雜,一旦發生資料外洩事件,也容易受到媒體矚目,民眾所產生的不良觀感,將對組織的信譽造成傷害,加上當事人若受到實質損害時,也會訴諸法律來尋求必要的賠償。

此外,企業若發生商業機密的外洩,也必須要因應與客戶或供應商所簽訂的合約中,明訂需要負責或賠償的事項,所以對企業而言,重視資安問題並在營運過程中識別出需要遵守的法律、法規及合約的安全要求,將它落實在內部的政策與作業規範,將會是最好的做法,只要能及早未雨綢繆,就可避免因資安事件所造成的傷害與損失。

2012年1月8日 星期日

[觀點] 解析資訊安全控制措施(十) - 資安事故管理與營運持續

上一次我們談到了ISO 27001中有關資訊系統的安全規格要求,以及在系統開發時,如何導入適當的安全控制來降低系統的安全風險,本期將說明接下來的資安事故管理與營運持續的控制措施。

在資訊安全的世界裡,無法達到所謂百分之百的安全,能夠做到的只有相對的安全,這是組織務必要體認的實際情況,因此,難免會有一些資安事件,像是電腦中毒、駭客入侵、資料損毀等狀況發生。既然無法保證絕對不會發生資安事件,那麼在事件發生時,為了要降低可能的損害,就需要事先建立處理應變的方式,才能將衝擊降到最低,甚至還要進一步擬定營運持續計劃,以便在災害擴大時,仍能保持業務營運的正常水準。