(觀點文章呈現多元意見,不代表《數位時代》的立場)
身分安全是網路安全領域的一個熱門話題。雖然越來越多企業已精意識到身分安全的不確實將帶來危險,但許多組織仍未採取正確的身分安全措施落實資安防護。
身分安全不該只是資訊長(CIO)、技術長(CTO)和資安長(CISO)所關心的問題,每個層級的每位員工都應該充分了解所有潛在威脅,以及遭遇身分相關攻擊可能面臨的嚴重後果,並為其做好準備。
組織必須在他們的數位生態系統中管理成千上萬的身分。我們也看見攻擊者誘騙企業員工洩漏個人密碼等憑證的社交工程(social engineering)攻擊手法層出不窮。根據Verizon在2022年提出的數據洩漏調查報告(DBIR)中便指出,高達82%的資訊安全事件實際上都牽涉到人為因素,例如密碼等憑證遭竊、網路釣魚或系統安全配置不當等等。隨著需要管理的身分和應用程式不斷增加,加上人為錯誤隨時可能發生,企業更應該要提高警覺,意識到落實身分安全策略至關重要。
然而許多組織卻低估了公司遭受網路攻擊的可能性,認為網路攻擊事件不可能輕易發生在自己身上。這是一個令人擔憂的現象,尤其是台灣近年發生多起大規模資料外洩和攻擊事件,例如在2021年百餘位台灣高層政要的LINE帳號遭到駭客入侵,以及最近發生的醫院病患個資外洩事件,更有超過2,000萬名台灣民眾的戶政個資遭到竊取後,被登上暗網市場拋售等重大資安事故。
部分企業也可能會認為網路攻擊很容易管理,不會對公司造成太大影響,但事實並非如此。網路安全漏洞可能導致公司面臨嚴重的長短期成本和後果,例如財務損失、聲譽受損、保險費增加,以及生產力下滑。因此需要嚴肅看待網路風險,同時將網路風險納入公司策略和規劃之中,身分安全也需要列為優先要務,開始以萬無一失的方式實施用戶存取權限限制等身分安全控管,以減少預料之外的身分攻擊帶來潛在損害。
身分安全資安防護應該如何開始?
一、了解公司需要什麼
首先,第一步是找出公司試圖透過身分安全來解決哪些問題。
每個組織都有不同的挑戰和需求,可能是服務台人員因存取請求和密碼重設等問題而人力負擔過重,也可能是IT團隊發現到使用者所擁有的存取權限過多,或是採用雲端應用程式導致安全可視度降低,同時還增加了IT生態系統的複雜性等,更糟的情況是公司可能「已經」發生了資料外洩事故。
如果公司所處的產業受到高度監管,對組織內部高層來說,合規性和風險規避則將是主要重點,了解誰有權存取公司的哪些應用程式和系統應成為最優先的工作,以展現組織遵守法規,且能有效地管理風險。
因此,第一步先了解公司的身分安全需求是非常重要的,因為它有助於確定公司的最終目標,確保身分安全策略與組織的整體策略目標一致。
二、將重點放在「流程」
一旦確定公司的需求後,應寫出所發生之事件的整個過程,以及需要改正的地方。製作一張工作流程地圖,載明哪些安全流程採取手動作業、哪些採取自動程序、流程分別耗時等等。
識別所有關鍵的參與者也是非常重要的一環;從IT團隊、服務台人員、安全團隊到使用者,以及參與者彼此間如何受到目前流程影響。能夠清楚地瞭解目前的情況、能力、流程、參與者和成本,才能為未來的身分管理專案設定明確目標。
三、設定清晰且具體的目標
目標和度量標準對任何計畫來說都很重要。前兩個步驟決定後面計畫的實施依據,但對於計畫的成功與否,應依據計畫為公司所帶來的價值來作判斷。
然而能夠實現目標的關鍵在於所設立的目標必須是清楚、可衡量並且有形的。單是以「提高公司的效率」作為目標並不夠具體;必須透過統計資料和數值檢視才足夠清晰。
因此目標設定應始終切合實際,這可能代表要從小處著手,並顯示隨著時間的遞增價值,比如一個專案可以分成多個階段推進,而不是一次完成所有事情,這也可讓專案團隊在不誇大預期的效益下建立可信度。
四、建立一個財務模型
組織需要先思考實際執行情況,盤點啟動和持續運作身分管理解決方案需要的硬體、軟體、人員或其他各類資源。盤點階段完成後,亦需將預期發生的維護成本或是其他任何成本納入財務模型。最重要的一點是記錄具體的改善,以及組織如何透過新的身分管理解決方案節省實際開支,比如因合規成本降低或服務台事件減少而減省的支出。
下一步則是測量價值。每個組織都有自己的首選財務度量標準,可能是專案投資數月或數年後可以回本,也可能是ROI(投資回報率),重點是財務模型必須與管理團隊期望看到的表現指標呈現一致。投資回本期和投資回報率是許多組織使用的典型度量標準,建議將它們納入成為財務模型的一部分。
有了可靠的身分安全解決方案,IT團隊將能全面了解內部系統,以確保政策受到遵守、違規行為得到預防,並能在需要時向有關當事人發送通知,確保組織受到保護。身分安全並沒有使事情複雜化,而是提高公司的能力,使公司能夠更全面得保護敏感資料,且具有足夠的彈性讓使用者有效率地工作。
重大的網路攻擊或資料外洩對於企業聲譽、生產力和盈虧所帶來的風險不容忽視。隨著企業持續落實數位轉型,組織也必須對每位使用者落實正確的存取控制,以有效率地管理複雜的IT生態系統並保護所有使用者的數位身分、應用程式和資料安全,讓組織運作始終維持在安全且合規的環境。
《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長至少800字,請附上個人100字內簡介,文章若採用將經編輯潤飾,如需改標會與您討論。
(觀點文章呈現多元意見,不代表《數位時代》的立場)
責任編輯:林美欣
