回勞安中心首頁




 
  智財權與資安最新訊息
<< 回智財權與資安最新訊息

兩大策略提升用戶端資安意識
 

上篇,強化資安第一箭 - 提升用戶端資安意識。提及隱形的資訊風險距離一般用戶端的認知更加遙遠。下篇將會討論企業如何提升用戶端資安意識。

企業內部用戶端缺乏資安意識阻礙資訊安全推動
不論何種規模的企業機構,資訊部門人員相對來說都是少數,絕大部分的員工包括管理階層都是資訊系統的用戶端,這些用戶端缺乏資訊安全認知,對於資訊安全的推動將直接產生以下影響: 

1. 資訊安全管理系統是建立一個資訊安全推動及管理機制,其中,例如: A.9.4.3 Password Management System 的控制措施要求有安全的密碼原則,在應用系統設計實務上會要求密碼設定須符合複雜性原則。資訊人員了解,密碼複雜化是為了降低密碼被暴力破解的機率,避免系統被未經授權存取,外在的表徵(資安事件) 是資料不正確(被竄改) 或資料外洩。但這樣的設計直接影響的是使用者操作的不便,一般用戶端無法瞭解這樣的控制措施與哪一個資安問題(資料外洩、竄改) 有關,當資訊人員提出管理辦法或資安技術解決方案時,由於管理階層缺乏資安的認知,他無法連結解決方案與需要被解決問題之間的關聯,將造成在推動資訊安全管理時的阻力。 

2. 資訊安全管理系統中,資訊資產擁有者(Asset Owner)對於管理體系運作有著重要的影響,例如風險接受,營運衝擊分析,而這些資產擁有者理當是由該資產主要的用戶端擔任,在對於資安認知缺乏的請況下如何做出合適的判斷及決策?

3. 要安全卻也想要方便。資訊系統設計考量資訊安全需求,增加資訊安全功能設計,將對於系統之存取產生不便或可能影響作業效能,通常用戶端因為無法完全理解資訊安全所可能的影響,因此對於安全功能多是站在對立的立場,此外更直接影響的,在進行系統需求訪談及議定系統交付日期時,通常用戶端不會提出資訊安全功能需求,多半認為是資訊人員的責任,常產生交付日期不合理的情形。此外在系統開發的測試活動,用戶端多半不會主動規劃資訊安全功能之測試並配合執行測試活動,除非該安全功能,就他業務上有直接法令相關之要求。

4. 使用資訊服務、設施因為缺乏資訊安全認知而導致資訊安全事故。許多公司會開發行動裝置的資訊服務,例如建議書系統、客戶管理系統,甚至提供公司的設備給業務或行政人員使用。在缺乏資安認知的情況下,例如設定自動連接公共空間的無線WiFi熱點,對使用者而言,,他並不清楚所連線的熱點由誰提供,當然也不容易注意使用這些熱點的風險,或對於其使用設備的安全性。 

5. 商業需求永遠大於安全需求。用戶端缺乏資安認知,因此在考量資訊系統之功能需求時,商業目的會優先於安全需求,而因為安全功能的欠缺,當發生資安事故時,用戶端並不會認為這與他先前否決的安全功能設計有因果關係,而認為是資訊人員作業疏失或是程式開發人員的責任,這一點是許多應用系統開發人員難言之痛。 

上述5點影響,只是眾多問題中的幾個,經年累月的結果,容易造成資安人員對於資安議題形成一個「習得無助感(Learned Helplessness)」的心理狀態,「習得無助感(Learned Helplessness)」理論是由賓州大學心理系教授馬汀.賽利格曼(Martin Seligman)所提出,當人們有了無助感後,對人生的看法會改變,不會有動力繼續努力,認為無論如何,都無法左右或改變現況。人們的潛意識在說「何必呢?反正怎麼樣都沒差。」到最後就算解脫的機會近在眼前,也提不起精神採取行動了。 

而這「習得無助感(Learned Helplessness)」的心理狀態,會不會說明了目前資安人員在推動資安管理的一個障礙?關於這議題將來筆者再發表觀點。回歸主題探討如何提升用戶端資安意識。


資料來源:資安人-作者:熊掌櫃 -08/03/2016




 
上一筆>> 專利戰續延燒 智慧財產局判日亞化專利無效
下一筆>> 2016防止數位盜版國際研討會盛大登場
 
本區最新資訊

<< 回智財權與資安最新訊息