2013 年

2013-11-28

掌握雲端勝券,關鍵是資安實力!
網擎資訊 線上服務部協理 李孟秋

台灣市場擁抱雲端運算已日漸普及,IDC 日前發布 2013 年臺灣地區的 CIO 調查結果顯示,未來一年企業資訊投資著重在「雲端部署」與「行動化管理」兩者的比例都超過 6 成,同時,有超過四分之一的企業,將在未來一年內投入雲端運算的相關部署計畫。

MIC 於十一月發布了「2013 年台灣雲端資安報告」,本文將詳細解析這份報告,了解台灣前五千大企業看待雲端服務的想法,以及為了部署雲端運算所做的準備。同時,沒有 CIO 的中小企業又應如何面對雲端的浪潮,本文中也會一併分享網擎資訊營運雲端服務十餘年的經驗供大家參考。

先瞧瞧企業的雲端購物清單是什麼?

2013 年企業已採用雲端服務的比例達 40.8%(沒有採用的企業占 59.2%),其中以 26.0% 採用電子郵件服務最多,其次依序有 19.5% 採用資訊安全服務、11.4% 採用視訊會議服務,以及 11.0% 採用線上資料儲存服務。

資料來源:MIC 2013 年台灣雲端資安市場需求現況與展望

熱情擁抱雲端,所以對之前的疑慮也盡釋前嫌嗎?

客戶基於時勢的帶動、較好的性價比而傾向雲端服務,但是在選擇雲端供應商時除了雲端服務的價格(48.7%),其實客戶更重視廠商的資訊安全能力(73.4%)、其次有 66.5% 考量技術支援能力。由此可看出儘管市場教育客戶雲端服務的概念大獲成功,即便如此,卻無法減低客戶內心深處對於資料放在雲端的不安全感,因此在採購決策階段比起雲端服務的經濟效益,甚至更看重廠商的資安能力,與技術支援的能力

事實上,要讓客戶信任雲端運算,最具公信力的方式就是取得安全認證,讓國際資安證書為服務背書。以當前食安議題為例:飲食店老闆與其每天跟消費者解釋他的產品沒有亂加東西、沒有黑心原料,還不如祭出檢驗單位的報告來回應,是最有效力的。不然說破嘴,很難讓客戶沒有疑慮、並且真正的放心消費。

網擎資訊很早就意識到這個核心關鍵,因此早在 5 年前尚未有民間企業取得 ISO27001 證書之初,就率先導入了  ISO27001 資訊安全控管流程,並取得其認証。自此每年都要通過 SGS 的資安稽核,才得以維持證書的有效性。

資安層面欲持續符合國際最高標準,不僅是服務流程面,產品服務也必須快速、充份應對最新的資安威脅與法規,方能保全客戶使用資訊服務的安全:例如:在法規遵循方面,網擎資訊 MailCloud 郵件代管獨家提供機敏個資偵測功能,管理者可自行設定監控門檻,當任一員工外寄含有個資之資料時,可選擇警示寄件者或是直接攔截信件,待審核後再放行。另外 MailCloud 還有專門針對雲端郵件的各項 SecaaS(Security as a Service) 加值服務,包括郵件歸檔備份、郵件稽核防護、並與多家國際級資安廠商合作提供 APT 過濾防護服務。

MIC 研究報告亦指出,台灣各大型企業考量雲端部署時,另一項重視因素--「技術支援能力」說明在環境快速變遷,資安事件頻傳的現在,雲端服務提供廠商能否有足夠的能力支援各項應變措施,是各 CIO 關心的要素之一。網擎資訊的所有線上服務皆為原廠百分百自行研發,無論功能上線或客戶服務亦由原廠直接服務,因為不假他人手,我們有能力以最快的速度回應突發狀況與使用需求。

想要用雲端又擔心風險,這些企業採取什麼措施?

受訪企業除了看重廠商的資訊安全能力之外,為了降低採用雲端服務的風險,企業也紛紛採取相應的內部資安措施:

  • 73.0% 企業制訂安全政策審核流程
  • 67.9% 著手強化雲端儲存的機密安全
  • 46.9% 採用審核雲端之工具,以及
  • 43.4% 仰賴廠商提供的控管方案

另外約一成企業更成立雲端安全團隊(10.3%),或聘請雲端安全顧問服務(9.9%),以確保雲端安全。而處於「評估中未採取措施」的企業,也從 2012 年 21.5% 減少至 2013 年 7.1%,顯示 2013 年採用雲端的企業,採取內部資安措施的比例有明顯增加。透過這份報告,我們可以發現企業內部因為採用雲端服務的不安全感,除了特別看重廠商的資安能力,更進一步自我要求,從制度面、資訊服務資安機制面來強化安全措施,而非單方面的要求或仰賴雲端廠商的資安能力與作為。

當然,對於大環境而言,資安意識與積極作為的提升絕對是件好事。不過,對於中小企業來說,這又是另外一個不同的故事!以網擎營運雲端服務多年的經驗發現,中小企業因為人員精簡,一人當好幾個人用,除非發生重大事故,否則一般不會有專人特別為資安風險做準備。所以見微知著,防患於未然的資安工作 -- 即使不是系統層面,而是使用環境中的資安威脅,我們也必需先客戶一步做好提醒與預防的工作。以會員使用弱密碼為例:即便系統已經內建弱密碼提醒與防制機制,客戶不見得會積極採用。這時候我們會主動篩選出風險較高的客戶群,請客服人員特別關切提醒他們可能的風險;即使客戶沒有特別意識到,我們也要主動替他們的安全把關,加強客戶安全使用資訊服務的概念,這一直是多年來網擎資訊雲端服務的一環,唯有如此,才能讓整體系統及每位客戶,都獲得資訊安全的基本保障。

結語

資訊市場雲端熱度不減,持續帶來商機無限的前景,隨著市場採用雲端服務愈見普及,我們從 MIC 的這份報告中發現客戶的不安感並未消失,不但對雲端廠商的資安能力的要求不會放鬆,甚至更積極在公司內部採取安控措施。因此客戶在評選雲端服務時,比起價格會更看重廠商的資安能力,以及技術支援能力。

報告中也揭露了未來最具潛力的雲端資安需求:其中以雲端資安的防毒、防火牆、垃圾郵件防護、入侵偵測與防禦以及儲存歸檔與防禦等需求,落於「明星象限」。對於郵件備份稽核、身分認證、資料庫安全、網頁安全、即時通訊軟體監控及弱點掃描等需求,則落於「利基象限」內,企業採用比例就整體而言雖較低,但一旦有相關需求或曾經受「駭」,便會優先考慮採用。

網擎資訊 MailCloud 雲端服務起步得早,維運雲端服務已有 15 年的經驗,而資安相關的雲端加值服務如:垃圾郵防護與稽核及郵件備份服務也早在 7 年前就推出上市,不但深獲中大型機關組織的青睞,還有來自上千家中小企業將近 100% 續約率的肯定,相信也是您評選雲端服務的最佳選擇。