共同目的及共识：有更安全的经营环境

2015年底，正值各家资安专业科技厂商们雨后春笋般的一一发表他们对于2015年资安环境、威胁问题...







2015年底，正值各家资安专业科技厂商们雨后春笋般的一一发表他们对于2015年资安环境、威胁问题等等的观点及提醒，对于各企业也增加许多的帮助及解惑。由此可见，现在不再是单打独斗的资安战，而是需要技术、合作伙伴与服务团队共同携手合作。针对云端上的建置、应用与上下游供货商的互动来说，笔者提出了三点让大家参考的方向。

(一) 最基本事 - 养成好习惯

定期的安全训练，从不同部门人员所执掌的职位加以强化”安全第一”的守则。
(安全第一虽然有点像口号, 但没有此意识, 亡羊补牢通常很辛苦, 例如开发人员没有资安观念, 很容易产生漏洞)

落实相关资安政策, 现在很多资安规范稽核已经把细节直接写在细则里,，例如要妥善保存并不能被更改。大意是养成使用网络的好习惯,例如，清查公司资产, 不要让不该直接面对Internet的系统有网络接入口就是一个很好的例子。这三条最基本的事, 相当不容易做到, 基本功最难, 也是每个产业都应该要有的意识, 包含新创公司

(二) 技术面进阶

一般而言，云端服务的厂商遇到资安的挑战可能是一个企业的数百倍到数千倍, 优良的厂商会特别针对该公司所提供的服务作保证与说明, 例如符合何种资安标准, 如何保护客户数据, 以及运维后台实际的操作以取得客户的信任等等。因此企业信息人员则对于这些优良厂商所提的部分，需要多从其对外公布的讯息、观察的报告以及针对威胁是否能提出新的建议及做法，来一一检视及判断。

在实务上, 我们的确看到很多客户会因为在预算与安全上做了妥协, 或者是以自身单位为考虑角度来执行资安相关的作为，然而有些企业则是将资安单位层级拉高, 非隶属于IT单位, 的确让整体的安全水平提升, 也更清楚网络世界的复杂度。因此，当企业对于资安的重视与支持/支持力道，也有可能会对于企业的资安整体建置运作有其不可忽略的影响性。

(三) 整合的策略思维

整合运用的思维是网内安的核心概念之一，以市面上超过1,000+多家的资安公司, 要选择对的技术与产品是非常具有挑战性的, 所以一贯的策略并可以整合相关的解决方案达到保护关键基础建设是重要，不容忽视。从终端装置, 到大数据分析与情报收集, 还有日常维运, 都应该环环相扣的, 举例来说, 当我们选择资安各领域都是第一品牌的产品与服务来用, 结果在安全维运中心需要开20个屏幕来分别监控, 这可能就不是大家预期的结果, 会拖慢对危机事件的反应速度。因此对于整合的策略思维，非但要防护面去思考外，应用的便利性及共通性也是需要考虑的环节之一。

结论：

迈入新的一年2016，环境在变化、新兴产业也陆续展现，许多思维及做法也需要我们适时的去调整及转换。一般企业有时候会把资安厂商当成纯粹的供货商，而非合作伙伴，这样会大幅降低使用该服务的价值。合作伙伴也并非朋友, 而是大家有共同目的及共识 – 有更安全的经营环境 - 来努力, 更进一步, 我们才有可能做集体联防。资安的威胁认知与威胁的对抗，需要大家共同合力将此现象转化为合作的力量。

    关注 振宏网内安