要贏人先要贏自己：要對抗黑客先要了解安全風險從何而來

安全必須是每個IT項目的優先考慮，由於國際間打擊不力，網路犯罪活動只會更加猖獗，而攻擊變得更為複雜且犯罪組織更具協作性。要在肆虐的安全威脅下自保，資安專家及CIO們必須對資安五種主導性要求做好應對準備。

2014一如以往，事故有增無減，網路威脅與資料洩露等事故以幾乎永無止境之勢一波波襲來，為零售業、銀行業、遊戲網路以及政府機關等行業造成巨大衝擊。雖然安全問題本身並不會出現顛覆性的全新變化，但威脅的複雜性與精密程度卻愈來愈高深。

1. 應付網絡犯罪

互聯網已經成為一片越來越大的犯罪分子淘金地，他們在這裡通過各種不法手段賺取利益，包括中斷企業及政府的服務，從中竊取資料圖利。很多大型機構還完全沒有意識到黑客的手法已經非常先進。企業必須為安全問題做好準備，保證本身有能力防禦大部份的攻擊，以及作出應變能力以減低事故後的影響及損失

2. 隱私與監管

大部分政府機構已經建立隱私相關條例，這些條例的目的旨在保障個人可識別資訊(PII)資產受到保護，而未能確切遵循相關要求，未對上述個人資訊加以保護的組織將面臨法律訴訟的風險。企業組織需要將隱私作為一項合規性與業務風險問題一併進行考慮，從而減少監控制裁以及各類業務成本，例如企業信譽受損以及因隱私侵犯導致的客戶流失狀況。

而全球不同區域所採取的監管機制在彼此結合之後，很可能讓企業面臨更為沉重的負擔；面對此情況，或者企業的法律顧問便要多多提供協助，例如要求他們提供更佳的建議，又或者要求他們以歐盟對於資料洩露法規與隱私保護制度的基準作為參考標準，並據此草擬資訊安全規劃。

3. 來自廠商、供應商的安全威脅

供應鏈是每一家企業在全球化業務營運體系當中的重要組成部分，資安人員們要關注本身企業在面對無數風險因素時的資訊開放程度。供應商往往能夠共用到一系列有價值甚至是敏感性資訊，而在資訊處於共用狀態時，控制機制未必能發揮作用。這無疑將導致資訊在保密性、完整性以及可用性等層面面臨更為嚴重的安全風險。

即使是看似無害的連接也可能引致被攻擊的可能性。攻擊美國連鎖家用品店 Target 的黑客就是利用冷氣機供應商作為攻擊途徑，利用提交發票的網絡服務應用程式進行惡意活動的。

廠商假如無法保障其所涉及資料的機密性、完整性以及可用性，各類規模的企業便需要認真考量供應商帶來負面意外狀況的可能性，其中具體涉及知識產權、客戶或員工資訊、商業計畫或者談判內容等等。而這類思路對於負責制造或者分發的合作夥伴也同樣適用。

企業需要一套持續性規劃，結構良好的供應鏈資訊風險評估方案，能夠提供詳盡的分步式實施方法，從而將複雜的項目工作拆分成一個個易於完成的步驟及目標。此類方案應該由資訊驅動而非以供應商為中心，因此能夠在不同企業環境下具備可擴展能力與可重複使用的特性。

4. 辦公環境中的 BYOD 趨勢

BYOD趨勢已經客觀存在，但目前來看，幾乎沒有多少企業能夠真正就此開發出良好的政策方案。隨著員工不斷將自家己的流動設備、應用程式、雲儲存等引入企業網絡內環境，不同規模的企業逐漸發現防禦工作難度已經達到前所未有的艱辛，風險貫穿企業內部與外部，包括設備本身管理不善、針對軟件漏洞的外部存取以及未經嚴格測試且非可靠的業務應用部署等等。

BYOD下工作與個人資料邊界模糊以及大量業務資訊由未受保護的消費級設備所持有及瀏覽，所以建立一套具備良好架構的BYOD方案，為最壞的情況作準備，制定管理政策，使用戶在合理的範圍內採用個人設備增加效率。

5. 自動化管理流程

這一話題，不能不提企業當中最龐大的資產兼且最為脆弱的目標：人。企業已經花了很大的資金用於購買技術，然而再好的科技也不敵按錯一個制。所以有方案便以推動資訊安全意識為目標，例如當偵測到員工行為可能違反公司政策時便作出提示，從而教導員工，改變他們的習慣；然而此類方案對於抗衝各類潛在安全風險仍未見有太大成效。

而且事實已證明，這種主張根本無從實現，相反，企業需要以更為積極主動的安全態度調整本身業務流程，將員工由風險根源轉化為企業安全第一防線。理論上來說，人為因素應是一家企業中的最重要甚至核心組成部分。企業真正該做的是引入積極的資訊安全控制手段，從而將「三思而後行」作為組織中資訊安全文化中的一大良好習慣與根基。真正的商業性驅動力應該在於風險本身以及如何利用新型應對方式降低此類風險。