电 话:+86-0512-62807996
传 真:+86-0512-62808596
地 址:中国(江苏)自由贸易试验区苏州片区苏州工业园区东平街287号广鸿大厦4楼511室
Email:jerry@zhenhong188.com.cn
当信息安全成为一个议题开始,四面八方管道例如,刊物、网站等等提供源源不断信息安全的相关信息,要求对象主要是信息技术人员或资安人员,期待建立并强化资安软实力,因为这些人负责管理公司组织的信息资产,懂技术、了解资安所可能带来的风险,建立并强化资安认知由信息相关人员开始,似乎合情合理。 而技术解决方案方面,国内厂商也致力于研发或引进资安产品,透过技术解决方案建构信息安全防护的硬实力。厂商在推广这些资安产品,因为涉及投资,所以对象可能是负责信息的决策主管,但也还是以信息相关人员为主。此外政府法令及相关配套措施,例如要求金融保险业导入信息安全管理系统(ISMS)及个资管理系统(PIMS),颁布「寿险业办理计算机系统信息安全安全评估作业原则」,再搭配金融检查来确保这些法令及配套措施落实执行。 由上看来不论是官方或是民间,不论是资安软实力、技术解决方案、政府法令等似乎是全方位的建构信息安全环境。看来似乎毫无破绽,但,还有什么可以补强的?
隐形的信息风险距离一般客户端的认知更加遥远 ATM提款卡看得到,一般人都知道要好好保管,因此诈骗集团不容易偷到,就算偷到,还得知道密码,因此改用骗的,你看不到电话另一端的诈骗集团份子,他利用人性弱点及包装完美的故事,不需要知道提款卡密码,骗你上钩,让你双手奉上。 信息科技发展,消除了一般人存取信息设备的障碍,加上科技逐渐成为一项竞争力,改变商业游戏规则,例如金融科技,金融业若不追上这股潮流趋势,就可能被淘汰出局,但是越是复杂的科技,越是需要”包装”及”简化”才能让一般使用者上手,你无法用密密麻麻的使用条款、信息安全政策、隐私声明等,期待让使用者知道他所使用的信息服务存在什么风险,说实在的,这些都只是企业组织”规避责任”的措施,出问题时,你可能不知道你已经按了”接受”并同意相关条文。 虽然从事信息安全相关工作,但科技发展之迅速,从手机、穿戴装置到行动支付等等,也不禁开始迟疑,使用这些产品有没有问题?有没有哪些风险? Google 能给我答案吗? 消费者资安认知促使厂商推动信息安全
笔者曾在国内一家信息产品厂商担任资安管理工作,公司产品营销各国,在各个国家都有客户及消费者,因此在许多国家设有当地客服及维修服务中心,而因应电子商务趋势,这家跨国企业当然也提供在线购物、经营网络会员、社群等增加产品推广营销的管道。 此外有部分案件来自对于资安有相当程度了解之客户端,有些纯粹为维护其个人隐私权益,进而向公司提出客诉,但也有些人表面上是主张其个人隐私权益,但实际上是他利用自身信息专业技术,透过一些黑客社群网站所公布的信息发现公司网站存在资安问题,加以利用意图牟取不当利益。面对这些议题,使得公司不得不采取一些措施降低这些事件对于公司的影响,包括建立强大法务部门处理这些案件,增加网站安全漏洞检核机制及强化应用程序测试作业,同时也迫使公司不得不将原本分散在各单位的会员数据集中控管。讽刺的是前述与资安相关的管控措施,在事件发生前是为推动个资/资安管理工作所提出而被否决的建议,这段经验给笔者一个非常重要的讯息:客户端信息安全意识或个人隐私意识抬头,对于企业组织强化信息安全产生直接的压力。 |
2014苏州振宏信息科技有限公司 苏ICP备10070324号 振宏科技始终专注于网络安全技术,一直引导发展网络准入控制系统,桌面管控系统,网络运维监控系统。详询:0512-62807996 全国免费咨询电话:0512-62807996 |