Financial Technology Cyber Security 行動辦公室App FinTech 安侯企業管理 KPMG 謝昀澤

IT驅動企業數位轉型 資安風險管控決定成敗

2016-01-07
不論企業IT基礎架構如何變遷、商業模式如何改變,資安風險控管始終是至關緊要的一環。
KPMG(安侯企業管理)顧問服務部副總經理謝昀澤回憶,早在過去資訊科技技術剛起飛,單機作業為主的時代,密碼學與防毒已是他在資訊管理研究所必修的課程項目;跨入資安領域近十年,企業日常營運仰賴網路日漸加深,安全控管的主軸則轉向內部惡意存取、木馬程式、外部攻擊等威脅,統稱為「Internet Security」。

時至今日,隨著資訊科技正朝向雲端運算、物聯網、社交網路、行動化應用發展,駭客地下經濟也隨之進化。謝昀澤舉例,過去一些黑市的惡意程式或DDoS工具,是放置在隨身碟中販售;現今的行動裝置已相當普及,惡意程式的發展也趨向多元,駭客販售的隨身碟內建的是可偽裝無線基地台的軟體工具,只要行動裝置設定為自動連接Wi-Fi,即可藉此取得使用者的裝置資訊。


▲採以新興技術創造的應用模式,如同Google眼鏡等,勢必要把風險納入考量,否則將無法發揮真正的價值。

在新興應用模式推展下,諸如此類資安威脅的轉變,勢必讓企業IT的資安風險更形嚴峻。因此謝昀澤認為,未來十年,資安的重點須提升至「Cyber Security」,也就是無邊界的資安防禦,才足以降低駭客利用新興科技進行破壞式攻擊或竊取機敏資料的風險。

創新應用模式不可忽視的資安風險

現今不論行業別,企業IT建置的目的除了輔助提升營運效率,更被賦予開創新商機的驅動力量,使得「轉型」幾乎成為顯學,例如金融業的FinTech(Financial Technology)、製造業的工業4.0(第4次工業革命,台灣也稱為生產力4.0)、醫療4.0、零售4.0等新興議題。謝昀澤說明,產業轉型屬於應用層級,會涉及法規等層面;落實到底層,即是IT領域發展雲端運算、物聯網、社交網路、行動化應用發展的整合性應用。

在資訊科技轉型的同時會帶動組織轉型,彼此可說是相輔相成的關係。但完全由資訊科技來帶動轉型,謝昀澤則不認為一定是對的模式。就以知名的Dropbox或Evernote等雲端服務來看,在全球已累積龐大用戶群,企業營運績效理應相當優異,但實際上似乎非如此。

由科技帶動轉型,或新創公司,其實沒有想像中的美好,最典型的實際案例,謝昀澤認為即是Google眼鏡(Google Glass)。「我個人認為,目前物聯網的應用,智慧手錶與手環,恐怕無法成為真正的主流,除非如同Google眼鏡,讓實體結合資訊,才是真正雲端運算平台、大數據分析、穿戴式裝置的整合應用,也才是資訊科技可帶來的商業價值。」


可惜的是,前景看好的Google眼鏡推出兩年後黯然退出消費市場。之所以停產,謝昀澤指出,其中最重要的因素在於應用模式所蒐集的個人隱私資料,沒有人有信心可確實控管其風險,如此一來,應用模式就會受到限制,可能適用於提高盤點工作效率,但無法在消費端推展。他強調,採以新興技術創造的應用模式,勢必要把風險納入考量,否則將無法發揮真正的價值。

導入新興應用模式前必須具備風險認知

新興科技應用帶來的Cyber Security問題,主要在於傳統防禦邊界已無法清楚定義。尤其是BYOD應用模式,儘管近年來已有不同技術領域的廠商相繼提出解決方案,但實際上,謝昀澤認為,必須要在應用模式為前提之下討論BYOD才有意義,否則恐淪於設備管控而已。

他進一步指出,當然BYOD需解決公司該如何管理員工私人設備的問題,除非員工自願,否則公司根本沒有控管的正當性。對此,KPMG早在2011年就已發布控管策略,鼓勵員工只要同意在私人行動裝置上安裝控管App,且沒有私自移除的記錄,公司每個月即發放補貼金。至今KPMG集團大致有八成的員工均自願接受公司控管措施。

在企業邁向轉型之路的過程中,開始導入或採用新興科技協助,勢必需要有完善的管理政策與安全措施,即便實施的難度高,仍舊必須盡最大的努力防範可能發生的問題;對於根本無法控制的應用模式,則是先思考潛在的風險性,以及採用的必要性。 謝昀澤提醒,其實風險問題不在於能否事先預防,而是必須先行掌握,進而分析降低風險之道,萬一發現所需耗費的成本過高,則可選擇適度地減少應用,才不致出現失控的狀況。

KPMG 謝昀澤
KPMG(安侯建業)顧問服務部副總經理謝昀澤,專長企業資安管理系統建置、網路安全技術與滲透測試,擁有國際認證電腦稽核師(CISA)、美國計算機行業協會(CompTIA)Security+認證合格、ISO 27001/ISO 20000主導評審員訓練合格等證照。資安顧問專業服務經驗包含金管會、財政資訊中心、行政院主計總處、中華電信、Yahoo、PCHome等知名公民營機構。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!