遵循GDPR即是保護企業有價資產
(本文為2018網路資訊「無邊界網路安全研討會」新竹場之會後報導)
「一提到Ipswitch公司大家第一個想到的是知名網路監控軟體WhatsUp Gold,但我們今天要談的是另一個軟體MOVEit,它是檔案傳輸管理軟體。」為避免誤解Ipswitch 亞太區技術總監Ethan Lin在開場言明今日主題。不可免俗的Ethan Lin簡單介紹了Ipswitch公司,Ipswitch在全球116國設有據點並擁有超過42,000家企業客戶,除少數如格陵蘭、馬達加斯加外幾乎都有Ipswitch的足跡。
今日所談的資安觀念,除了一直建立防禦避免被攻擊外,企業也當從另一層面想,企業要保護的是什麼?關於此在歐盟正式實施嚴格的GDPR後,個資與資訊被視為有價資產已很明顯。因此當以「要保護何種資產?」為中心來建立資安政策,從源頭開始落實防護,主動保護資產而非一味被動抵禦攻擊,企業資安才算完整。
既然企業資訊為有價資產,但這些資訊以各種檔案形式存在於企業中,企業內的成員相互間要分享傳遞檔案,也要與外部的客戶、商業夥伴分享傳遞檔案。而分享傳遞有各種管道與手法,如信件附檔、雲端檔案共享(如Dropbox、Google Drive等)、FTP協定傳送等,甚或是USB隨身碟、NAS。然這些方式均有其風險,稍有不慎即會讓企業的有價資產外洩,因而必須有效地控管但又不失原有的便利性。
針對此一痛點Ipswitch的MOVEit可帶來控管的檔案傳輸,例如對資料進行加密、以自動化排程方式傳遞資料、查核資料的完整性(是否遭竄改)、對內容進行掃描偵測、對檔案傳遞運送進行追蹤記錄,並在出現違規動作時即時發出警訊,或進行分享存取等行為分析。另外MOVEit也支援法遵合規,除前述的歐盟GDPR外,金融業要求的PCI DSS,醫療業要求的HIPPA等均已到位。
除檔案動作行為外MOVEit也提供Secure Folder Sharing功能,可簡單快速地實現安全協同作業,管理上也很簡易,分享的建立既可在企業自有機房亦可在雲端,更重要的是檔案分享傳遞過程均完整記錄,有助於稽核追蹤。
而談及資料夾分享即會有人提及EFSS(Enterprise File Sync and Sharing,泛指企業檔案同步與共享軟體),但Secure Folder Sharing遠比一般EFSS強大,包含內外使用者數目不受限制、告知哪些資料夾可分享、對竄改留下證據記錄等,EFSS除了與Secure Folder Sharing一樣易用外各方面均不若Secure Folder Sharing。
既然MOVEit的目標是在企業檔案的安全防護與傳遞,則必須合乎更多資安標準與技術,如MOVEit合乎FIPS 140-2標準,且MOVEit Transfer(MOVEit成員軟體之一)是以AES 256-bit對稱加密後傳送。
此外MOVEit也有優異的控管功能,包含即時追蹤檔案上傳、下載動向,或透過MOVEit Transfer Live View以掌握檔案傳輸的效能表現與傳遞狀態,如傳遞中、塞車中、傳遞失敗、傳遞完成等。
最後Ethan Lin也透露一個小秘密,整個MOVEit方案最初是為金融業所打造設計,合乎銀行業各種嚴格的安全控管規範,在歷經多年實際歷練考驗後,而今也適合各產業、各種規模的企業導入運用,企業唯有效率運用(傳遞分享)資訊資產同時妥善保護資訊資產,才能讓企業更具競爭力,因應未來機會與挑戰。
轉載自網路資訊http://www.netmag.tw/2018/12/07/ipswitch%E6%9E%97%E9%80%B8%E8%BB%92%EF%BC%9A%E9%81%B5%E5%BE%AAgdpr%E5%8D%B3%E6%98%AF%E4%BF%9D%E8%AD%B7%E4%BC%81%E6%A5%AD%E6%9C%89%E5%83%B9%E8%B3%87%E7%94%A2
