公司的資安防護系統真的安全嗎?還是「燈下黑」?
透過種種資料證實對於企業來說最大的資安威脅,往往是來自於內部的員工。而在台灣資安大會上,講者也引用了Ponemon Institute研究報告;就內部威脅來說,超過六成與內部人員的過失有關,其中竊取機密等真正的犯罪行為約有23%。
企業在建立資安風險防護系統時,通常將主力放在防火牆等明確的防護措施上,但在公司內部為了方便資料流通,卻常常疏於管控,這種「Shadow IT」的問題一直存在,也難以被察覺。
以台灣台積電為例,其在資料外洩的防範手段上算是出名的嚴謹,但仍然杜絕不了這類事情的發生。這也反應出即使企業在資安風險上再努力,當面臨了人為因素,仍難以確保資安事件不會發生。
當企業在資安風險預防上已盡了足夠的努力,仍無法完全預防時;或許,也該思考事情發生後補救措施,除了演練IRP(Instant Response Platform),也應轉嫁資安事件發生後的龐大花費,例如諸多Crisis Sevice相關支出及營運中斷損失,讓企業能有更有充足資金執行Recovery plan!
#崴亞用心企業安心
#資安治理
文章出處:iThome