資安漏洞出在「人」身上

一年一度的臺灣微軟Tech-Ed，從去年開始邀請美國總部的資安專家來臺授課，今年同樣由Steve Riley及Jesper M. Johansson連袂來臺，一方面解析駭客最新的攻擊手法，對企業提出資安建議，同時提昇企業資訊人員與程式開發人員在程式撰寫、系統開發、系統維護等工作上安全性。

談到企業應如何制訂自己的資安政策？Steve Riley表示，資安政策人人會訂，但是任何政策都有其弱點，所謂的資訊安全就是「自找麻煩」的工作程序，必須經過教育與學習才能有效推廣與執行，去預防原本不預期會發生的事件。

Steve Riley強調，並沒有什麼措施是萬無一失的，也不是安裝很多產品就能達到安全目的，因為問題或漏洞往往都在人的身上，以現在大肆風行的社會工程詐騙手法為例，技術本身並不高明，而是利用人性的弱點讓人上當，企業對內的安全教育訓練與分層管理都相當重要，很多工作必須從觀念宣導開始，再完善的設備防護也抵不上內部人員的疏失。

另外，企業資訊主管常苦於如何向經營者爭取資安預算，因為花的錢常常很難看到效益，往往得等到事件發生，老闆才會點頭，但Jesper M. Johansson認為，企業資訊主管必須有「不得不做」的覺悟，投資在資安上的效益的確很難評估，但是等到發生事情再做就來不及了，因為技術、系統、網路環境都持續改變當中，企業必須持續進行新的資安工作與建置。

Jesper M. Johansson還強調，預算高低與安全與否沒有絕對關係，產品並不能解決所有資安問題，儘管中小企業擁有的IT資源有限，只要預先評估企業本身能承擔的風險範圍，預算高低並不重要，掌握關鍵工作環節的安全更為重要，也就是所謂的投資價值、可承擔風險與防護措施間的平衡。文⊙高雅欣