「我是資安資系劉小姐,麻煩加個LINE,議題有事情想找你確認一下!司用」
「我是統安XX證券的范小姐,有急事找你,全嗎加我賴ID!資安資系」
一天數十封類似這樣的議題網路詐騙訊息,讓你感到厭倦嗎?近年來網路使用需求量激增,司用加上各種資訊系統於雲端緊密佈建,統安數位足跡遍佈多個程式,全嗎為我們的資安資系工作與生活帶來便利性,但在背後也隱藏著極大的議題個資風險。為此,司用一般使用者不僅加強資安意識外,統安企業端更需要提升防護機制,全嗎對內部所使用的協作工具、資訊系統加強把關,替員工或是客戶建構安全的資安防護罩。
現今最常被企業使用的雲端服務Microsoft Azure、AWS、Google Cloud Platform三大巨頭在資安上有非常嚴謹的琢磨,但最終的系統服務供應商,是否有嚴謹的資安管控,面對突發狀況時,是否有緊急應變處理能力,也是企業在選擇系統服務時需要考量的重要因素。
雲端人資系統該具備的資安防護
近年,疫情促使下很多企業加速推動內部數位化轉型,並選擇支援遠端服務、容易佈署、好維護管理的雲端系統。企業將人事資料放置在雲端人資系統,管理求職者或員工個人資料,包含職稱、薪資、聯絡方式等重要機密性資料,這些個資不可公開也不能被篡改,更需要有安全的防護網。
因此導入雲端人資系統時,相較於性價比更應該將資訊安全納入優先考量指標,除了雲端伺服器本身的防護機制,人資系統服務廠商在開發流程上的資安控管機制、如何進行資料保護、掌握多少加密技術、有沒有在做定期預防及風險控管,都可以做為雲端服務在資安層面的評估準則。
資料保護與加密技術
鼎恒數位科技(以下簡稱MAYO)產品設計開發中心副總經理林承毅表示:「由於SaaS的特性,MAYO必須對客戶的資料負責,加上近年來著名的駭客攻擊事件頻傳,因此在資安防護的投入,我們非常重視如何防禦、避免讓資料面臨威脅,並將其做為資安建設的指導原則。MAYO會隨時監控檢視現有系統環境,以持續優化的縱深防禦與零信任架構做為資安防禦建設策略。」
MAYO努力打造安全的資料環境,以健全的資安架構 CIA Triad來看,針對機密性(Confidentiality)和完整性(Integrity),企業客戶將機敏的員工相關資料儲存在Apollo人資系統中,MAYO以最高規格來保護這些「個人資料」,避免資料陷入威脅,其防護措施涵蓋了資料存取控制、最小權限原則、資料加密與資料遮蔽等機制,確保資料的隱密性以及在網路存取過程中有完整的加密防護。
同時,Apollo人資系統可以依客戶需求進行使用者權限切割或資料配置,確保個人資料的合理存取。員工電子化薪資單有雙重驗證機制,瀏覽時需要再次輸入密碼,並整合電子郵件通知,保障員工薪資隱私。
風險控管與定期預防
對於資安可用性(Availability)而言,MAYO有完善的異地備援機制,避免天災人禍造成客戶無法使用服務的風險,並啟用Microsoft Azure提供的備份機制(Cross Region Restore, CRR)來保留備份資料,同時提供本地和異地備援,在緊急狀況時也能夠快速應變處理。為預防特殊事件造成公司的營運中斷,也有完整的營運持續管理(Business Continuity Management, BCM)計畫,會定期進行演練、風險評鑑、系統弱點掃描,亦透過委外單位進行滲透測試,經多方嚴謹的風險評估,確保系統安全無虞、符合現況需求。
MAYO在台灣已服務超過1,200家客戶,當中不乏集團型企業、上市上櫃公司或是外商企業,這些公司選擇Apollo雲端人資系統的同時,也認同MAYO在資安領域的投入。MAYO率先於2020年取得ISO 27001證書,從流程進行管控與稽核外,也導入PIM特權帳號管理系統與資料庫存取稽核記錄,進一步強化權限管控、追蹤存取足跡與提升運營效率,無論是一般員工或是具備特權的管理者帳號,皆被納入管理與稽核;近期更導入了Imperva雲端防火牆,進行多方面的監控及保護。
Photo Credit:MAYO在開發流程早期,也須著手開始進行資安防禦,MAYO在CI/CD流程也加入了自動化程式碼安全分析,每一次建置都會掃描與分析程式碼、第三方元件與程式庫等是否含有漏洞,以利開發團隊在早期就能進行修補或採取對應的防禦行動。讓使用MAYO旗下人資系統服務的企業安心與放心,所有資料都有高規格的資安防護,成為企業經營管理層面強而有力的後盾。
下次別再理會加LINE的詐騙訊息,不如加入MAYO官方LINE好友,輸入ID:@mayohr,擁有最新的人資相關議題與新知分享,同時擁有不定期的免費人資講座與相關課程。
想知道更多MAYO的人資產品與資訊嗎?快到MAYO官方網站:https://www.mayohr.com/tw
Photo Credit:MAYO本文章內容由「MAYO鼎恒數位科技」提供。