《管理話題》智慧行動裝置夯 升高資安風險

隨著智慧行動裝置及無線上網普及，自存倉越來越多員工使用智慧行動裝置處理日常活動，包括傳遞電子郵件、規劃行程、批核企業內部行政作業，以及作為企業管理儀表板，伴隨而來的風險，凸顯資安管理的重要。企業可能因此曝露在以下的資安風險：風險1.行動裝置易被攻擊：行動裝置的通訊界面、使用的作業系統、使用者自行下載的應用程式廣泛，駭客可利用很多管道進行攻擊。風險2.行動裝置易被竊：行動裝置中可能存有企業內部資訊、文件及商業機密，如果被竊，極易造成機敏資料外洩。風險3.惡意程式易被下載雖然行動裝置作業系統商盡力防止惡意程式從下載管道散播出去，但是惡意程式越來越複雜，也越來越難被偵測。風險4.存取企業資訊控管不足：許多企業未針對行動裝置存取資料進行權限控管，使用者透過行動裝置對企業設備、系統進行操作存取或同步資料交換，容易將惡意程式傳染至企業內部。此外，也可能發生企業資料與私人資料混用，變成資料外洩的高風險管道。風險5.行動裝置多樣性：目前行動裝置作業系統有3大主流，有些作業系統因為行動裝置製造商不同，又會有不同的變形及內建應用程式，加上這麼多不同類型的行動裝置存取企業內部資料或連結內部應用系統可能不同mini storage都增加資安管理難度。要降低資安風險，可用以下方法建構行動裝置安全架構：方法1.定義安全需求：協調資訊、法務、人事及其他業務單位，共同討論、定義目前的商業模式及未來目標，引導出行動裝置的運用願景，據以發展行動裝置的安全政策。蒐集行動裝置在營運面、功能面及技術面的要求，及相關資安管控。執行風險評鑑，鑑別出人員、技術及流程上的風險，並發展改善方案。方法2.規劃、設計安全架構：定義並建立行動裝置作業架構，包括硬體、軟體、服務及營運流程，並且規劃相關監督、管理機制。定義相關支援技術，如：行動裝置作業系統的資訊安全基準及安全應用系統發展程序，規劃導入路徑圖及工作計畫。方法3.導入解決方案：對關鍵決策點進行外包或自建分析，鑑別所需資源及人員技術能力需求，並取得相關資源。定義並採購必要服務以支援行動裝置安全環境。分析並決定那些作業系統、ISP業者及行動裝置符合營運的需要。遵循IT測試程序，對選定的行動裝置、應用系統及作業方式進行安全評估。建立行動裝置資訊安全架構審視機制。行動裝置的需求及技術一直演進，須定期檢視行動資訊安全策略及相關管控措施，確保網路安全。（本文作者為勤業眾信聯合會計師事務所協理）儲存