Grant Thornton正大專欄-雲端網路安全風險管理

爲了因應最近推出的歐盟個人資料保護法(GDPR)等新資料保護規定,許多業者都需要提升更高的資訊安全防護。對於每間公司來說,採用新的雲端技術服務,也可能帶來新的風險,還是要保持謹慎。

在現今的網路環境中,沒有什麼可以保證百分百安全的,我們應該意識到雲端技術可能帶來的一切風險利弊,多花一些時間來識別這些雲端供應商,是否有真有制定可靠的資安防護策略,所以關鍵就是要盡最大可能降低這些風險,才能更安全的體驗雲端服務,我們可以從以下二點開始着手:

一、評估我們的需求

在找到合適的雲端供應商之前,我們需要確定哪些資料需要上傳到雲端,哪些資料要保留在我們自己的機房中。進行這樣的分類時,我們需要先制定檔案相關性、敏感性以及保護檔案所需的政策,從這裡我們可以決定將哪些資料保留在公司內,或要儲存在雲端,還是完全刪除。例如,我們可能會選擇將敏感的資料儲存在公司內(如研發或專利資料);再來,我們需要選擇最適合的安全措施,實體安全(如室內環境、刷卡門禁、攝影機等)、公司內部保密流程(如員工資安教育訓練、公司營運計劃等)、銷燬不需要的資料、以及採用技術措施(如加密技術、防火牆等)。

二、雲端供應商水準參差不齊

許多公司採用雲端儲存資料,是因爲對於資料存放的地點及備份方面來說,比傳統的網路儲存更安全,但使用雲端服務並不能完全保證我們的資料絕對不會外泄或被竊取。與大多數的商品一樣,費用最低的供應商通常會帶來較大的風險,我們務必要提早進行規劃,確認我們所需要的安全等級,並找到可以提供這些充足防護的供應商。即使選擇了高端供應商,也無法絕對保證我們資料的安全,這一點的認知很重要。

在確認我們所需的服務後,要確認的是供應商的義務和責任範圍,例如技術安全措施、規則的透明度、法律責任等,並同時瞭解我們自己的義務,提早提出正確的問題並弄清所有不明的細節,同樣也是重要的。如果對方可以在我們的預算內,且可以針對我們擔憂的弱點來填補資料安全漏洞,那麼我們可能已經找到了合適的供應商。

最後,當我們每次使用這些新型態的網路服務時,都是給駭客創造新的攻擊目標;同樣的,我們在使用這些新服務前,也都必須先識別新的風險,並確保我們具有適當的額外保護措施,爲了能在新科技時代中保持競爭力,公司需要不斷擁有新技術,但也務必自我謹慎及選擇,以獲得最佳結果。

(本文作者Grant Thornton Taiwan正大聯合會計師事務所經理)