【觀點】82%資安事件都跟人為有關，企業怎麼做「身分安全」？四大步驟一次看

（觀點文章呈現多元意見，不代表《數位時代》的立場）

身分安全是網路安全領域的一個熱門話題。雖然越來越多企業已精意識到身分安全的不確實將帶來危險，但許多組織仍未採取正確的身分安全措施落實資安防護。

身分安全不該只是資訊長（CIO）、技術長（CTO）和資安長（CISO）所關心的問題，每個層級的每位員工都應該充分了解所有潛在威脅，以及遭遇身分相關攻擊可能面臨的嚴重後果，並為其做好準備。

組織必須在他們的數位生態系統中管理成千上萬的身分。我們也看見攻擊者誘騙企業員工洩漏個人密碼等憑證的社交工程（social engineering）攻擊手法層出不窮。根據Verizon在2022年提出的數據洩漏調查報告（DBIR）中便指出，高達82%的資訊安全事件實際上都牽涉到人為因素，例如密碼等憑證遭竊、網路釣魚或系統安全配置不當等等。隨著需要管理的身分和應用程式不斷增加，加上人為錯誤隨時可能發生，企業更應該要提高警覺，意識到落實身分安全策略至關重要。

圖／ Towfiqu barbhuiya on Unsplash

然而許多組織卻低估了公司遭受網路攻擊的可能性，認為網路攻擊事件不可能輕易發生在自己身上。這是一個令人擔憂的現象，尤其是台灣近年發生多起大規模資料外洩和攻擊事件，例如在2021年百餘位台灣高層政要的LINE帳號遭到駭客入侵，以及最近發生的醫院病患個資外洩事件，更有超過2,000萬名台灣民眾的戶政個資遭到竊取後，被登上暗網市場拋售等重大資安事故。

部分企業也可能會認為網路攻擊很容易管理，不會對公司造成太大影響，但事實並非如此。網路安全漏洞可能導致公司面臨嚴重的長短期成本和後果，例如財務損失、聲譽受損、保險費增加，以及生產力下滑。因此需要嚴肅看待網路風險，同時將網路風險納入公司策略和規劃之中，身分安全也需要列為優先要務，開始以萬無一失的方式實施用戶存取權限限制等身分安全控管，以減少預料之外的身分攻擊帶來潛在損害。

身分安全資安防護應該如何開始？

一、了解公司需要什麼

首先，第一步是找出公司試圖透過身分安全來解決哪些問題。

每個組織都有不同的挑戰和需求，可能是服務台人員因存取請求和密碼重設等問題而人力負擔過重，也可能是IT團隊發現到使用者所擁有的存取權限過多，或是採用雲端應用程式導致安全可視度降低，同時還增加了IT生態系統的複雜性等，更糟的情況是公司可能「已經」發生了資料外洩事故。

如果公司所處的產業受到高度監管，對組織內部高層來說，合規性和風險規避則將是主要重點，了解誰有權存取公司的哪些應用程式和系統應成為最優先的工作，以展現組織遵守法規，且能有效地管理風險。

因此，第一步先了解公司的身分安全需求是非常重要的，因為它有助於確定公司的最終目標，確保身分安全策略與組織的整體策略目標一致。

圖／ shutterstock

二、將重點放在「流程」

一旦確定公司的需求後，應寫出所發生之事件的整個過程，以及需要改正的地方。製作一張工作流程地圖，載明哪些安全流程採取手動作業、哪些採取自動程序、流程分別耗時等等。

識別所有關鍵的參與者也是非常重要的一環；從IT團隊、服務台人員、安全團隊到使用者，以及參與者彼此間如何受到目前流程影響。能夠清楚地瞭解目前的情況、能力、流程、參與者和成本，才能為未來的身分管理專案設定明確目標。

三、設定清晰且具體的目標

目標和度量標準對任何計畫來說都很重要。前兩個步驟決定後面計畫的實施依據，但對於計畫的成功與否，應依據計畫為公司所帶來的價值來作判斷。

然而能夠實現目標的關鍵在於所設立的目標必須是清楚、可衡量並且有形的。單是以「提高公司的效率」作為目標並不夠具體；必須透過統計資料和數值檢視才足夠清晰。

因此目標設定應始終切合實際，這可能代表要從小處著手，並顯示隨著時間的遞增價值，比如一個專案可以分成多個階段推進，而不是一次完成所有事情，這也可讓專案團隊在不誇大預期的效益下建立可信度。

四、建立一個財務模型

組織需要先思考實際執行情況，盤點啟動和持續運作身分管理解決方案需要的硬體、軟體、人員或其他各類資源。盤點階段完成後，亦需將預期發生的維護成本或是其他任何成本納入財務模型。最重要的一點是記錄具體的改善，以及組織如何透過新的身分管理解決方案節省實際開支，比如因合規成本降低或服務台事件減少而減省的支出。

下一步則是測量價值。每個組織都有自己的首選財務度量標準，可能是專案投資數月或數年後可以回本，也可能是ROI（投資回報率），重點是財務模型必須與管理團隊期望看到的表現指標呈現一致。投資回本期和投資回報率是許多組織使用的典型度量標準，建議將它們納入成為財務模型的一部分。

圖／ Photo by Kelly Sikkema on Unsplash

有了可靠的身分安全解決方案，IT團隊將能全面了解內部系統，以確保政策受到遵守、違規行為得到預防，並能在需要時向有關當事人發送通知，確保組織受到保護。身分安全並沒有使事情複雜化，而是提高公司的能力，使公司能夠更全面得保護敏感資料，且具有足夠的彈性讓使用者有效率地工作。

重大的網路攻擊或資料外洩對於企業聲譽、生產力和盈虧所帶來的風險不容忽視。隨著企業持續落實數位轉型，組織也必須對每位使用者落實正確的存取控制，以有效率地管理複雜的IT生態系統並保護所有使用者的數位身分、應用程式和資料安全，讓組織運作始終維持在安全且合規的環境。

《數位時代》長期徵稿，針對時事科技議題，需要您的獨特觀點，歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw，文長至少800字，請附上個人100字內簡介，文章若採用將經編輯潤飾，如需改標會與您討論。

（觀點文章呈現多元意見，不代表《數位時代》的立場）

責任編輯：林美欣