所有正派經營、投入研發的企業都有個都承受不起的痛:辛苦經營的品牌毀於一旦,特別是經營許久累積客戶資料外流,嚴重甚至觸犯個資法,這類型的資安問題,最常發生在零售業者或服務業者身上;此外,以開發為重的公司商業機密遭到洩密,研發許久的心血被敵手整碗端走,也是另一種企業在資安上最大的隱憂。
為了要解惑如何建立企業必備的資安概念,微軟郵件資安專家常志誠特別分享他的見解。
零售業:精準預測消費者需求前,得先保護客戶資料
資安問題,隨著各行各業數位化轉型大熱潮與雲端化整合,幾乎成為所有企業在管理上的熱議題。所謂熱議題,就是一定得做、而且要做到完整並不容易。愈是以品牌經營為核心、重視技術與研發價值的企業,愈會在資安議題上投入心力發展,然而,常志誠認為, 台灣的企業雖然有企圖發展品牌或運用技術與全球市場競爭者一較高下,但卻普遍對於資安管理問題輕忽,往往是「不見棺材不掉淚」。
其中,零售業者對於數位轉型應透過數據經營會員忠誠度的理解程度已經相當成熟,大型零售業者甚至早已投入數據收集與分析的 know-how 多年,但業界不時出現因為對資安的輕忽而功敗垂成的案例,辛苦透過行銷方案與會員制度長期累積而來的客戶資料,在僥倖心態下,不但讓消費者個資暴露在不安全的環境下,商譽與品牌信任感的維護上也蒙受風險。
業者必知:資安威脅分兩種,外部攻擊與防不慎防的內鬼
目前常見的資安威脅大致可分為兩種:一是外部的勒索軟體,二是內部資料外洩。
外部的勒索軟體或是釣魚網站的攻擊之下竊取公司資料,客戶的個資外洩,或是員工帳密洩露,往往瞬間就造成龐大的損失。一般企業的應對方式,就是重灌,再度增加了資料建置的成本與時間成本的消耗。
在許多零售業者紛紛發展電子商務的趨勢下,消費者在使用電子商務平台時非常在意的,則是信用卡資訊的保密與安全,零售業者對於資訊安全的保證,影響消費者是否願意成為忠誠會員、毫無保留貢獻消費足跡資料的決定性因素。一次的疏忽與不慎,要在網路上挽回消費者的信任感,花上數十倍的努力與時間才有可能挽回,更多時候,是再也難以喚回消費者信心。
再者是公司內部的資料外洩,經常發生在信件夾帶檔案,在轉寄過程中,意外轉寄出去的資料。另外一種由公司內部產生的資安威脅則是台灣媒體常提到的「內鬼」,當有心人士蓄意竊取公司客戶資料,造成客戶的帳密洩露,資料的外洩可能構成財務損失與隨之而來的法律訴訟,公司商譽損失;或是更嚴重的對競爭對手進行洩密,也是眾多企業不願意見到的情況。
「這種事情不會發生在我身上」的想法,是零售業最大的資安漏洞
常志誠觀察到,對於資訊安全的陌生與冷感,讓大部分的老闆們抱持著「這種事情不會發生在我身上」的僥倖想法,資訊安全不被重視的情況,也同樣反映在公司資源的挹注分配上。
許多產業,特別是零售業者認為每天接觸的客戶量大,光是市面上五花八門的的資管系統就已經夠眼花撩亂了,再加上安全管理,實在麻煩又複雜。然而,資訊管理系統的導入,其實不但能夠大幅降低安全顧慮,還同時能夠讓資料的管理更加簡易與效益增加,並且能即時的因應科技產品的更迭。
案例一 /日本零售業者 ShopJapan :雲端導入行動裝置安全系統防堵影子資安問題
以日本零售業電商 ShopJapan 為例,近年來發展網路購物與企業轉型的過程中,將內部部署遷移到雲端,以提高使用者的便利性,同時藉由雲端技術以解決不斷增高的營運成本與成本問題。透過導入 EMS(Enterprise Mobility + Security)企業雲端安全系統與 Office 365 生產力工具,解決了個人與各部門之間各自使用雲端軟體所衍生的風險疑慮,讓企業在使用雲端技術時,能夠提升員工行動生產力,又能夠在資訊安全責任做出保證,有效控管在行動裝置上流動的企業資料。
案例二 /美國零售業者 Whole Foods:分層管理員工 ID 降低 32% 維護成本
另一個案例則是在歐洲與北美 462 家店面的美國最大有機通路 Whole Foods。
Whole Foods 在建置雲端系統與數據中心化的過程裡,為了保護會員資料的隱私,員工們往往需要不同的密碼權限得以進入到系統內。因此員工不斷地抱怨必須要熟記多組密碼,再來是登入時需要的繁複流程增加了許多時間與營運上的成本,IT 人員花在疑難排除的時間上也是一大耗損。
然而同樣透過更整體化的多重解決方案,Whole Foods 後來與微軟合作,以 Azure Information Protection 的機制,運用員工分級 ID 身份識別,排除帳密外洩的可能;並且協助 IT 人員, 以內部管理使用標記與分類的方式,依照資料機密程度分級,有效且簡易的保障資安。這項服務協助 Whole Foods 成功地降低了 32% 維護成本, 也透過多因素驗證:ID 指紋身份辨識的功能,排除了安全防護措施帶來麻煩的疑慮。
我們可以看到,在資安的建置上,防毒是最基本的要求。有效的身份識別與後續追蹤的重要性更是顯著,對於每天都在接觸消費者,有多間實體店面或是銷售點的零售業者,管理階層能夠透過技術層面的協助,Azure Information Protection 有效的透過系統的資料判讀功能,即時的偵測機密文件,或是敏感訊息偵測,避免資料洩露的風險。結合 Data Loss Prevention Policy(DLP)能夠有效且即時地,透過分層管理機制的設定,各國個資法規的規範比對,透過傳輸規則的制定,在不同層級的資料分享上,依照權限分級對機敏資料有更完善的把關。
消費者與客戶對品牌的信任度往往是失而不復得,然而,有效的保障客戶資料,則可以增進品牌形象與提升大眾有信任感。
去年台灣知名銀行爆發的 ATM 盜領 8,327 萬元的事件,在許多風險管理的專家眼裡看來,其最大的損失其實是商譽損失與客戶信任。同樣國內知名的咖啡連鎖店,也曾經因為駭客入侵而遭洩 5000 筆會員個資,連電話、地址都被公佈。
資安,是數位轉型的一大重要關鍵
資安,是數位轉型的一大重要關鍵,隨著許多零售業者拓展店面的同時也積極的發展電子商務,五花八門的選項,也讓顧客回流是成為各家通路的重要目標。如何同時管理大量的信用機密資料與客戶個資,又能夠解決繁複的管理流程,資安建置的重要,不僅在於防範,更在於降低管理成本,資訊安全有所保障,更是品牌印象加分的ㄧ大關鍵。
勤業眾信風險管理事業部的執行副總,吳佳翰,更進一步提出,企業應該開始思考,資安不只是營運作業層面的事情,更應該與公司發展策略習習相關。資安風險其實就是公司營運的風險,財報除了實際營收數據外,也應該有非財務資訊的相關報表,呈現資安風險若沒有獲得控管,將對公司帶來多少損失。透過事前準備的有效資訊安全控管,透過單一身份識別的建立,一舉達到了權限分級的資訊安全防護,也更有效的降低了管理的成本,為企業建構出資訊安全的完善防護。
(本文圖片、資料來源:微軟。)
【TechOrange 徵才:社群編輯、程式設計】 如果你對數位行銷、Startup 趨勢、產業轉型、程式設計,以及新科技議題有興趣,不怕用與眾不同的面向,去衝撞一般思維,歡迎你加入 TO >> 詳細職缺訊息 意者請提供履歷自傳以及文字作品,寄至 jobs@fusionmedium.com 來信主旨請註明:【應徵】TechOrange 職缺名稱:您的大名