如何防止重要数据被泄密?如何防止企业服务器被外界攻击?如何调查企业内部职员的不合规行为?如何发现及管控好互联网上关于本企业的负面舆论?这一系列问题是目前各企业常常遇到的棘手问题,一旦出现信息安全问题,将给企业带来无法评估的损失,尤其是在新互联网时代,依靠传统的网络安全设备已无法很好的管控这些问题,企业内部的信息风险管控迫在眉睫。
为此,2016年3月29日,由厦门市美亚柏科信息股份有限公司(以下简称美亚柏科)联合厦门市上市企业协会共同发起的《联网时代下企业信息安全管控研讨会》在美亚柏科大厦举行。
研讨会现场
研讨会汇聚了厦门市多家上市企业负责人、首席安全官、首席信息官、企业信息安全管理负责人、内审&稽核负责人、品牌管理负责人及上述部门业务骨干共同参与。厦门市上市公司协会秘书长王兴江、美亚柏科总经理申强出席研讨会并致开幕词。
王兴江秘书长致辞
申强总经理致辞
针对新互联网时代下信息安全风险对企业的威胁,为增进沟通与交流,美亚柏科首席技术专家徐志强,企业电子数据取证事业部副总监陆平,美亚柏科第三研究院行业搜索中心资深技术专家唐许帅以及安全狗创始人陈奋、安全狗首席安全架构师程长高等人分别从不同的角度分享了大型企业在信息安全防护、企业互联网舆情发现与处置以及风险审计等多方面的成功经验。
当前身边的企业安全的现状如何?
当今社会大家的生活越来越离不开互联网,企业运营也和互联网结合的越来越深入。互联网的很多特点恰恰又影响着企业信息安全方面的问题。陆平在演讲中分享了福建安全威胁的现状,2016年来仅福建地区网络诈骗的警情数、立案数占比分别为55.15%、52.96%。网络诈骗案件占比不断攀升,犯罪上升趋势明显,企业因此受到重大损失。仅在最近两周,厦门就有两家企业发生了信息安全的重大案件,造成了数百万的损失。这些真实发生在身边的事件,给我们敲响了警钟。当前企业信息风险的形式十分严峻,思考如何做好企业信息安全防范已刻不容缓。而传统的“防火墙”、IPS等单一的网络安全设备已经不足以防范,例如:“ATP高级持续性攻击”、商业间谍、售卖密码、资料外泄等由于人员方面的风险问题,而这些问题恰恰往往是造成当今重大损失的关键。
企业员工会泄露密码?
你会卖掉老板的密码吗?这是陆平在演讲中提出的一个有趣的问题。2015年美国安全公司SailPoint做了调查,20%的人表示可以出卖工作账户和密码。而在2014年的调查中,同意出卖密码的只有14%。可见一年过去了,恨老板的人又多了不少。调查显示,很多员工会合用某些账号,这样即使被发现,也查不到究竟是谁干的。调查公布了几个数据,42%的离职员工依然会登陆前公司的内网,33%的员工会用到未经许可的第三方软件配合工作,70%的员工会把工作文档上传到云盘,方便在家编辑。这些因为人而产生的问题,不断的告诉我们传统安全设备,无法阻止这些新型问题的发生。企业内部员工的不合规行为带来的危害往往更加针对企业自身的核心价值,容易造成更大的危害。
企业安全人员可以做些什么?
陆平在演讲中建议企业的负责人、安全官开始重新思考,我们自身的企业信息安全体系是否完善?企业核心价值的信息落地在哪里?企业的安全体系是否依然有重大漏洞?一旦出现问题,管理团队是否知道如何应对和紧急处置?陆平建议大型企业可以参考国际较为通用的ISO27001企业信息安全体系认证分阶段建设,统筹考虑好企业的网络空间安全、数据安全以及业务安全,让企业可以对风险威胁做到识别和预警,对核心的业务和数据做到完善的日志和审计,建立和培养安全团队的紧急事件处置能力和审计能力,只有做好这些,企业才能稳如泰山,稳定发展。
随后陆平还介绍了电子数据取证技术的简介,他强调企业安全人员和合规人员使用技术取证非常简便,在对计算机、邮件和移动终端等常见设备,美亚柏科均针对国内特点自主研发了很多功能强大,使用简便的取证系统,例如自动分析用户最近打开的文档、聊天软件记录、关键词搜索、删除数据恢复、快速查找分析用户邮件等。企业相关人员通过简单的培训即可开展调查工作,而美亚柏科也可以提供很多中高级课程和调查服务,帮助企业做好这方面的工作。
徐志强专家演讲
美亚柏科首席技术专家徐志强总结了企业当前面临的各种新挑战, 多数上市企业部署了防火墙、IDS/IPS等安全防护设备, 然而安全设备却无法杜绝商业秘密流失、内部舞弊欺诈等不合规行为。 除了外部的风险(如黑客攻击、知识产权侵害),越来越多的企业意识到内部风险管控的重要性,企业内部的不合规行为给企业造成巨大的经济损失,甚至影响企业的声誉和形象。
不少上市企业在上市前后,不断规范企业的经营与管理,加强内部审计及风险管控。多数企业的风控主要从制度及流程上来规范管理及规避风险,缺乏风险监测和风险应对的能力。 一旦出现内部风险事件(如内幕消息泄露、商业秘密泄露、雇员不合规行为等),企业相关部门无法有效开展内部调查,缺乏线索或证据的情况下,往往最终不了了之,潜在的风险隐患仍然存在。
徐志强分享了国内外企业利用电子数据取证技术协助开展内审、稽核、监察、合规调查等方面的先进经验,计算机终端、智能终端的数据审计方法和工具。此外,借助可视化分析技术,企业的业务系统数据还可用于发现企业内部潜在的舞弊欺诈等不合规行为。
除了从技术角度分享了关于事件调查的方式方法之外,亦凭借其多年来的调查取证经验,告知在场的嘉宾在日常工作中应注意3个要点:
一、企业开展内部审计、稽核、监察及合规调查等均需要注意个人隐私保护等法律问题,建议企业提前做好对职员的相关告知义务,与职员签订相关的公司设备使用协议,规避法律风险。
二、企业发现不合规行为的重要证据后,应及时按司法规范对电子数据做证据保全,以便后续作为诉讼的有效证据或提交公安机关。如缺乏相关经验,可聘请第三方专业机构(如电子数据司法鉴定中心)。
三、除了原有的IT安全防护措施,企业还应加强对内部网络行为审计、内部系统的应用审计,要求有相关日志,以便在发生安全事件或内部不合规行为时可进行追溯或开展调查。
随着互联网的发展,媒体的传播速度是无法想象的,企业的负面信息在互联网的传播,直接损害了品牌形象,导致股价下跌,给企业带来诸多负面影响;如何快速发现互联网上关于企业的负面报道?如何快速进行响应,将影响降至最低,避免重大损失?来自美亚柏科第三研究院行业搜索中心资深技术专家唐许帅在这个方面给出了答案。
上市公司安全研讨沙龙
经过一整天的课程学习,依然有数十位的企业安全人员参与了沙龙交流环节,果然留下的都是真爱啊。参与领导和同仁不断提出问题,例如手机流氓软件和诈骗信息电话如何预防?黑客盗窃邮箱密码和信息如何阻止?企业安全事件发生后,企业如何进行证据固定和证据保全,怎样做才能让电子证据具备司法有效性?针对这些问题,徐志强、陈奋、陆平等演讲嘉宾一一做了解答。在热烈的交流互动中,研讨会圆满落下帷幕,整场研讨会干货十足,让前来参会的各企业代表受益良多。
通过本次研讨会,让更多的企业了解进行风险管控的重要性及知道如何进行内部违规事件的调查取证。随着信息安全科技水平的不断发展,企业做好内部风险管控,掌握信息安全科学管控方法必将助力自身发展。美亚柏科也将持续积累并发挥取证调查及安全管控方面的经验,助力更多企业做好信息安全管控,为企业发展护航!
