三個行動　打擊資安惡鬼

網路是企業難以防守的漏洞，在全球移動的工作人，更是企業最容易忽略的資安缺口，一個隨身碟，就可能讓所有客戶資料搬家。勤業眾信副總經理萬幼筠指出，大家向來談資訊安全都只重視駭客，忘了每天開檔、下載、傳遞資料的員工，才是確保資安的第一關。

資安錯誤你犯了嗎？

「客戶的資料，就是企業的核心能力，」萬幼筠說，除了傳統的駭客防火牆，企業還需有新觀念，「從管理流程、機制、人員上全面著手。」　在行動工作、網路密集的新時代，企業常犯哪些資訊安全的錯誤？應該有什麼新動作？
　錯誤一，資訊安全投資比例失衡，重駭客，輕內敵。從二○○○年到現在的統計資訊顯示，外洩發生的比率七成都是內部，其中兩到三成是蓄意洩漏，企業大部份在維護資訊安全的投資都是在防禦外部攻擊，只剩下兩、三成的比例放在內部管理。

廣告

錯誤二，只把資訊當作企業資產。資訊安全不只是為企業，更是維護客戶基本權益。很多人認為電腦的資料遺失了就重來，沒有想過這影響到消費者的權益。在西方資訊安全保護措施裡，這卻是跟消費者的權益互相關連的。　
　錯誤三，資訊安全只保護ＩＴ設備，忽略資料內容。保護電腦不等於維護資訊安全，保護公司的伺服器，不等於確保了資訊不會外流，重要資訊仍有可能隨著員工的個人電腦散播出去。

三件鐵罩衫捍衛資安

改變過去錯誤的思維，現代企業要做好資訊安全，要有不同的做法：

行動一、建立資訊安全規範。資安不是科技議題，而是管理問題，要從控制的角度解決資安問題。企業首先要建立內部標準管理流程和稽核措施，找出要檢視、保護的項目，排出保護的優先順序，同時規定資料的使用人員和資料銷毀、保存方式，更要規範負責人員，結合人事懲處制度與資訊安全規範。

廣告

行動二、掌握資訊流。資訊就是企業的競爭力，資訊是流動的，風險就是流動的。企業要從研發、生產、行銷到產品最後到達顧客手中的整個流程中，從頭到尾掌握資訊是如何在人員、流程中流動，並且把資訊與經營風險相連結，才能事先設定可能的風險漏洞。

行動三、資訊委外工作必須簽立責任歸屬詳則。愈來愈多企業將資訊科技或是商業流程委外。首先，企業必須詳細列出交予委外公司的資料項目，規定委外公司保護資料的方式，如簽訂委外員工保密協定，再者，企業主還要保留審視委外公司資安能力的權利。

資訊安全是今日企業競爭力的一環，除了要有新觀念與新行動，最根本也最不花錢的是，企業必須加強全體員工的資訊安全認知，才不會不經意外流企業的重要競爭力。 三個行動 打擊資安惡鬼在Google搜尋到的網站，就有超過一○％遭駭客入侵、植入間諜軟體或惡意程式，企業網站如開了道洩密之門，資訊安全急需尋找保衛之道。

廣告