決策者應如何為企業資安稽核作最佳準備？

隨著物聯網 (IoT) 等興起，現時幾乎所有事物都離不開互聯網。然而當所有物件都與互聯網連接時，伴隨而來的就是網絡安全風險！試想想在萬物互聯的世界，一旦出現資安事件，所衍生的影響必然是災難級數的。

而為了有效應對資安風險，定期對企業作全面的資安稽核（IT Audit）是必須的！不過要完成全面的企業資安稽核，當中所涉及的準備工作亦十分繁多，單是決定那些設備需要進行資安稽核便已令人頭痛不已！

自己動手進行資安稽核？

其實要完成資安稽核很多公司都會選擇聘請外部的公司協助，但多年的經驗告知我們，除非企業需要遵循合規性，否則自己動手進行資安稽核才是最「貼地」的做法。為甚麼？

專業的 CIO 其實心中有數！這些資安稽核公司，其實都是採用一些隨處可購買的軟件進行資安稽核，最常見的就是一些漏洞掃描工具又或者配合測試（Pen Test）來完成；再加上本身的經驗以及針對員工的訪談等而得出最終結論並完成報告撰寫。

這一切不但所費不貲，而且對於真正的資安防禦效力有多大？舉個例子，早前全球最大型的 Sony 客戶資料外洩事件，就該公司的規模而言，他們必定有進行專業的資安稽核，但即便如此，卻仍然發生大型的資料外洩事件，可見完成了資安稽核是否就真的安全，仍有很大的討論空間。

有甚麼需要準備？

不論是否聘用外部的公司進行資安稽核，你亦需要作好準備方可令稽核過程更為順利。

A. 決定哪方面需要進行資安稽核

在進行資安稽核前，你需要決定稽核範圍，例如有哪些硬件或節點必須進行稽核，有哪些可以忽略；同時你亦需要以公司最重要的資產作考慮，並制定稽核邊界。當然有關邊界的制定並不簡單，因為對於公司來說，很多物件都是一項重要的資產，因此作為 CIO 就必須就此作出最合理的取捨；為了簡化程序，你可以建立一個檢查清單，當中將公司所有需要保護的資產列出。（*資產除了指一般輕易看得見的物品外，合約之中的條款亦是重要的資產，因此潛藏於文件之中的重要條款內容等，亦應視為公司的重要資產；事關很多時重新簽定或制定有關條款，往往要付出大量金錢聘請專家才可。）

B. 弄清資料正面對的風險

北亞區新興技術專家侯嘉俊指：「歐盟通用資料保護規則（GDPR）將於本年 5 月 25 日實施，而不遵守相關規定的公司需面臨十分嚴厲的懲罰！由此可見資料的安全性已成為重中之重，事關一旦觸犯 GDPR，公司分分鐘便會因為繳交天文數字的罰款而對業務造成極大影響。」

因此在定下了邊界以後，下一步我們必須要就珍貴的資料建立威脅清單，當中我們需盡量列出有可能對資料造成威脅的事項。例如因為天災令建築物受損而導致資料外洩等，這些看似與駭客攻擊沒有直接關係的威脅，亦需列入威脅清單之中，事關天災造成資料外洩，其實亦會導致企業財務上的損失。常見的清單項目應包括：

1. 天災因素而造成的損失
2. 硬件損壞而造成的損失
3. 惡意軟件或駭客攻擊所造成的損失
4. 勒索攻擊因素
5. DDoS 所導致的損失
6. 漏洞帶來的風險
7. 社交工程攻擊
8. 虛假電郵或釣魚攻擊

當然以上只是一些例子，實際制定有關威脅清單時，需就企業本身面對的情況而修改清單之中的項目。

C. 控制存取權限提高安全性

最後便需要就不同範疇部署相對應的方案以提高企業防禦能力！以下是一些常見的項目：

1. 實體伺服器保安
2. IoT 設備安全性
3. 定期進行備份
4. 設定合適的防火牆條件
5. 存取控制權限分配
6. 防禦垃圾郵件
7. 員工教育，提高安全意識

除上述提及的種種，資安稽核其實亦有更多需要考慮及規劃的事項！然而由於篇幅所限，今次我們只就資安稽核的最初步構想而作出簡介，稍後有機會的話，我們將會更深入探討資安稽核相關事宜。

鳴謝：Check Point