疫情災難環境中,企業營運下的資安對策
2020-03-02
香港
疫情災難環境中,企業營運下的資安對策
企業準備好了嗎?
伴隨疫情瞬息萬變與不確定性,「提前佈署」讓公司正常營運,或因需要員工居家上班,甚至全面性施行在家遠距上班。應該是高層、IT、資安、管理、稽核要慎重思考的重要工作。以公司營運來說,都不樂見到本項對策的正式啟用,更期盼可以平安常態工作。但「勿恃敵之不來」,是更主動積極策略。
「零信任」設計敏感性資料、應用和設備的訪問執行採取嚴格設計。包含以身分為中心(例如:AD或是LDAP)的動態存取控制,都視為不可信網路環境。即便以身分為中心,通過動態存取控制技術,以至細微性的應用、介面、資料為核心保護物件,遵循最小許可原則,構築端到端的邏輯身分防護疆界。其優點(1) 在IT治理上,是增強資訊系統與端點裝置的安全性;(2) 在企業管理上,強化安全環境和降低可被攻擊竊取力道。
舉凡:員工旅外歸來政府法規辦理外,是否可以遠距上班,如何確保資料與系統安全;面試對象可否進入辦公區面試,相關檢疫對策流程如何設計更為安全;各部門是否分群分時段上班,或是放寬員工與員工辦公位置的距離;上班擠電車/捷運,讓員工採用彈性時段上班,避開壅塞感染風險;辦公室消毒作業以及空調消毒開啟連動設計;若有員工上班發現發燒咳嗽的因應流程;在家遠距上班時,公司總線路頻寬負載需足夠;VPN連線數與VPN設備CPU負載壓力測試,以及在家上班資安安全管控與DLP管制政策,甚至上班時間記錄…等。有好多事項需要預作規劃及準備。
不同企業類型、管控嚴謹度差異、營運作業模式,不易有百分百適用的通則,以下提供給企業參考使用。
建立一個普遍適用的「災害管理計畫與施行細則」
長遠考量建立公司固定標準災害管理計畫與施行細則,可以與ISO27001風險管理進行搭配施行,本文著重在施行細則層面上,做為可以落實可行的執行對策。針對特殊重大災害,建立公司營運作業穩定的可行性方案,滿足台灣與國外據點,可以分成兩大管理與四個階段進行處置。
一是危機管理(Crisis Management)
針對公司內外環境發生事件當下的處置,由公司各階層與事件領域專家組成,獲得管理階層認可,且符合災害當下需求期待。由公司內部的應變人員處置,制定緊急應變措施。
二是後果管理(Consequence Management)
針對災害產生後果進行準備。在家工作、事件處置、交通方式、人員就醫自主管理、生產出貨方式…等。所以後果管理需利用全公司資源進行必要風險調度。訂出更多後果管理的項目,在平時加以準備與測試。
最終達成目標,就是公司平時有整備,才能迅速調集公司資源,應付突發災害,達成全災害管理(all hazards approach)的目標。
四個階段分別是:
- 第一階段災害初發時期
高層進行相關會議,建立災害控管小組,針對現況討論各項可能的後果進行預測分析,並作出決策方向,依據「災害管理計畫與施行細則」提出相對對策與適用性修改,挹注可靠備用配套方案與資源,搭配國家法令進行合規作業。小組成員高階主管與各部門主管組成,建立疏散避難相關資訊通知與運作流程,盤整演練相關設備器械、防護裝備、醫療耗材、資安管控措施、備援資料、情境演練測試,並確立其有效性與可靠度,尤其是疾病或是外出返回建立分區隔離設計,或是在家遠距上班。
- 第二階段災害發展時期
成立緊急應變中心(Emergency Operations Center, EOC),進行整合各單位之間的需求,進行基礎且必要防護手段、落實管控設計、啟用相關避險機制。若是疾病須建立分區隔離(公司隔離、在家隔離、人員上班距離)設計,建立緊急通訊機制以及相對應DLP政策,例如LINE@、Teams、Sky for Business…相關群組。
- 第三階段災害擴大時期
高層進行相關會議,針對現況討論各項可能的後果進行預測分析,並作出決策方向,確認後持續挹注可靠備用配套方案與資源,搭配國家法令進行合規作業。常規性稽核分析員工作業資安政策,進行必要修訂或放寬處置。讓在家遠距上班,取得資安與營運需求的平衡。
- 第四階段災害進入結束時期
確立各項災損狀態,包含人力盤點、設備、網絡、備援系統與資料歸戶返回。並進行環境整備作業,網路電力檢修分析外,更重要是消毒清潔工作環境以及空調清洗…等。進行心理輔導高層信心會議,回歸常態運作。若有人力折損,必要慰勞及輔導外,安全將外放資料轉回到公司…等。最後確定災害結束解散緊急應變中心(Emergency Operations Center, EOC)
施行計畫必須驗證各項資源工作
在此各家公司以及災害事件皆有所差異,所以在「驗證各項資源工作」層面上,以下列舉一些驗證檢核事項供參考:
- 網路與設備環境:光纖頻寬品質、網路頻寬負載、資安設備與應域性統相容性問題、VPN連線評估、防火牆政策變更開放、確保資訊系統的持續運作不中斷、遠距工作操作、線上會議、即時通訊、遠端辦公行為監控、
- 電話:辦公室分機轉接手機、傳真機傳真轉換成網路傳真
- 工作方式:職務代理、網路會議機制與演練、開機與遠端桌面政策或是使用虛擬桌面系統
- 作業流程:工作型態分類管控、生產作業調整、出貨作業調整、財務薪資作業與銀行簽核確認作業、人力減少的配置
- 環境:環境空調清潔消毒、人員位置間隔調整
- 其他:疫情與災情監控及通報機制、規劃作業方式調整後與利害關係人的溝通
- 在家辦公資源驗證與修正改善
例如VPN Client 連線數與計算,要保留可能緩衝連線及資源。針對不同群組建立VPN連線管控政策。為了確保VPN連線後網路品質,有效限制資安防火牆政策,以零信任資安論述,建立起資安管制手段。例如VPN建立連線後,限定只能RDP連線回到該個人工作電腦搭配DLP進行安全性管控。
其優點是有DLP管制電腦被遠端桌面情況下,可以獲得更安全管制手段外,資料也無法拖拉到在家的電腦,可以有效提高資料安全保護。對於機敏性系統的存取,將限縮其權限,再定時稽核盤點。
要掌握大樓電信機房到辦公樓層的光纖使用狀態,現有光纖頻寬是否充裕,面對大量員工遠距上班,應注意其壓力測試值。繪製VPN連線分配示意圖並注意外部網路流量負載峰值。進行外部驗證VPN登入後與各系統相容性及可用性,例如非Web base系統或SVN系統屬於公司內控系統,必須驗證遠端登入後作業順暢,以及銀行流程驗證等。進而建立VPN 驗證測試檢核表。公司員工IT能力本來就有所差異,所以必須進行必要教育訓練工作,以及資安使用管制規範。如果使用Office 365 teams作為會議系統,也必須注意相關資安管控設計。
關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
關於精品科技
精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。
