台灣知名書店因應從實體轉進電商事業的運營模式轉變,面對攻克聞之色變的資安課題,協同國內專業資安諮詢服務公司,一起打造安全、值得信賴的電子商務資通訊環境,維護個人隱私資料、確保網路安全、建構資安治理商業模式,齊心營造安全安心的智慧化交易創新科技平台。
2015年國內電商其實正遭逢資安衝擊的一段高峰點,數聯資安的諮詢顧問團隊不斷接獲來自客戶因受駭客攻擊的緊急求助。 而當時即嚴格要求資安的台灣知名書店 ( 以下稱E社),也主動連繫數聯資安以期偵測是否有可疑的駭客刺探性活動,在與該電商共同討論後,決定立即啟動資安應變服務,一周內便找出外部惡意人士的一些可疑活動,盤點可能被外部駭客拿來利用的攻擊途徑, 並在既有網路架構上進行阻絕,有效遏止一場可能到來的大規模破壞行動。
這個接觸點,也牽引雙方展開一套新計劃,一項以「資安治理」為標的,導入全新資安管理模式的諮詢輔導,短期目標旨在讓組織高層能立即了解目前資安的整體狀態,並可透過此諮詢輔導模式讓高階管理層積極參與資安決策及投入必要資源,以提供資訊單位更強而有力的整備度,為未來資安策略的戰術方針奠定關鍵的基石。
為了協助國內企業因應新一波的資安駭客大挑戰,此次遠傳電子報特邀數聯資安諮詢團隊的副處長張政權,為我們精心介紹這套國內電子商務業者罕見的資安管理部署方法論, 尤其是在初期提案過程,如何用可衡量投資績效的科學分析系統,讓企業經營者一目了然,利於決策。
組織安全,A4檢查表一目了然
數聯顧問團替E社規劃資安大計的核心,來自於一套名為「ITSG資安諮詢輔導專案」的科學系統。它從基本的資安健檢切入,通過安全域盤點分析、縱深防禦能力的評量打分,得出一張密密麻麻「顆粒狀」的組織安全係數報表。
這張報表延用商業智慧技術常用的視覺色彩呈現方式,讓組織的三個階層人士只需審視自己的責任範疇──執行長看總結,部門主管看分項,資訊主管則看細目。每個細目都是一個顆粒,根據科學評量法打分。安全值高於標準,維持現狀;數值低於門檻,就要設法改進,也就是當下資安該投資防護的項目。
「由於每家企業或多或少都有資安設備或軟體,決策者每每看到新設備請購計畫時,都要問原因和預期的績效,卻常常得不到答案。」張政權提出的這張視覺化安全檢查表,讓決策者立即洞悉重點,知道公司哪裡安全,哪裡還不足;在特定細目,投資特定設備,預期達成特定防護成果,變得有憑有據,有利於決策。
「如果公司的預算很充足,當然可以一次把低標項目的設備買齊,但這並不務實。因為每年編列給資安的預算還是有限,這張表讓公司真正把錢花在刀口上,強化資安等級。」張政權表示,像E社目標明確,要在短期取得ISMS認證以及針對EC營運平台進行縱深防禦能力成熟度提升,就相對有較多預算優先給資安。
三年佈建,四構面全到位
然而,探索出組織真正的資安需求,並非易事。一開始,E社率先提出自我需求,也是寄望資安服務業者協助之處,包括事前完整評估、事中偵測監控、事後應變與回應。最後再結合電子郵件社交工程演練,培養全公司所有員工的警覺意識。
數聯資安以安全域的概念進行組織盤點,找出各安全域所可能產生的風險點及對應相關資產;並根據該框架及方法論,設計出導入步驟及進行安全度量,為組織整體個資流向擬定防禦策略。
在這期間,數聯團隊也訪談系統管理員及利害關係人,鑑別出個資不當揭露的潛在風險;並實地走訪組織相關人員,從所聞所見的深度觀察中,運用駭客思維去模擬可能的入侵路徑,從而設計出一套決策者邏輯易懂的解決方案。
E社的資安框架綜觀四個構面:評估、管理、防禦和訓練,並設計出短中長期的活動,數量多達數十項,想在一年內將這些活動全數做完,所需投入資源及人力配合實在太困難。於是,透過數聯資安諮詢顧問團隊的整體架構審視後,根據資產優先性的考量,決定以三年期程依據風險評鑑及資通資安設備部署成熟度評估去添購必要的資安設備。
例如,第一年購置升級IPS、WAF及資安日誌軌跡系統(簡稱Logger) ,並納入7x24資安委外服務(簡稱SOC);第二年預計部署APT(進階持續性滲透攻擊)以及資料庫稽核防護系統(DAM)等方案。 來到第三年,資安治理成熟度的有效度量及落實就是一大查核點,未來更以踏入創新科技的範疇進行更完善的規劃及整體評估為長期目標。
張政權表示,E社從開始建立資訊安全監控中心(SOC),做資安健診、弱點掃描、滲透測試等項目,足足花了快一年。然後,再加入緊急應變機制,把整個資安做量化記錄,也就是成熟度評估。在整體縱深防禦能力增強後,E社的下一步要防範目前更進階的攻擊手法及外部威脅挑戰,並且於日常營運活動中持續落實資訊安全管理的PDCA程序,並在資安廠商的充分合作下,共同打造安全信賴的電子商務的資通訊環境。
防護完備度領先同業,展望創新科技
「就E社的資安防護藍圖來看,完備度算是領先國內其他電商。」張政權坦言,國內很多電商業者還是從資訊技術的角度,看待資安議題與投資,原因是他們的資訊最高主管往往出身於MIS,而無法綜觀整體商業營運版圖。另一方面,國內資訊長(CIO)對資安最欠缺的就是一套完整評估方法論,也沒有ROI的評估機制,更遑論要跟經營管理層呈報,因而對資安投資一事裹足不前。
E社正好迴避了這個盲點。他們的資訊長凡事能以商業運營角度審視,明白要做資訊安全管理,必須先擘劃出組織整體營運架構流程,按資產的風險性高低,把錢花在成效彰顯的項目,再逐步把細節接縫,建立真正安全的服務機制。
透過與資安專業服務商的深度合作,E社在實體轉進電商事業的過程中,務實且前瞻地打造一個商家、消費者和供應商三贏的安全交易平台。
而展望下個階段,E社跨足創新科技領域,事業移境延伸。雖然組織管理還是中央集中制,但未來評估可能將部分營運平台轉移到雲端服務,衍生出雲端安全的成熟度評估需求。這將是電商新一回合的營運戰場,而配套的安全防護法則勢必跟進。/p>