數位轉型讓資安出現大漏洞？企業稽核因修法備受考驗！

兩年前的今天沒有人會想到，疫情會這麼加劇企業數位轉型的腳步，眾多的服務與體驗都快速且持續地的轉往線上發展，也意味著今後的科技市場與話題，都將基於雲端架構而持續成長，然而在這當中所衍生出來的管理以及資安問題，也已經到了不得不重新審視的地步。

曾獲獎台灣新創之星，以雲原生為核心的技術開發新創團隊 PNTL 奔騰網路科技股份有限公司，在草創期就與許多大型集團共同走過上雲的艱辛路程，在技術堆疊下，新一代的發明不再只是專注在多雲架構的管理上，在零信任與特權存取管理的框架基礎上更導入了治理稽核功能，滿足各企業符合現代國際高資安規格的需求。

金管會修正內控處理準則，提升各產業資安防護能力

在國內，政府機關設置資安長職位已行之有年，但民間企業因規模、內需等問題，一直難以出現重視的風氣，隨著資安威脅日益嚴峻，從2021年開始，金融業、期貨業者等率先受到規範，要求設置資安專責單位，以確保金融體系受到比過往更完善的防護，而金管會更是在2022年底，在「公開發行公司建立內部控制制度處理準則」中，明訂上市櫃公司需設置資安長，以及資安專責單位。

過去企業忙著跟上時代的潮流，不斷的將原有的地端架構放上雲端，讓組織可以按需求擴展、加速產品推出的時間、更快的將服務傳遞到客戶手上等，卻也花了相當多的時間，處理多雲架構上所衍生的管理問題，與此同時，很容易忽略最重要的資安問題，破口也就很有可能在不注意之中衍生出來。而這次的金管會法案的修正，無不正是為了解決相關問題而被提出的，難保未來不僅僅是上市櫃企業需要符合資安要求外，中小企業也可能面臨額外的成本開銷。

建構資訊安全管理系統（ISMS），也是我們常聽到的 ISO/IEC 27001，就是可以讓公司擁有一套安全且具系統性的方法來保護資訊安全國際標準，在 ISO/IEC 27001 的文件當中註明了許多必須達到的標準以有效地維護資訊安全。取得認證的第一步，就是要制定符合標準的相關規範，但光是要求員工照著規定走是無法有效防止資安事件發生的，若不強化且隨時改善資安管理系統，公司將無法持續被認證。

因為法規的修正，讓更多的企業重新省思，要如何更有效地在數位轉型的同時，對上雲後的資料做好資料防護，但這不是一件簡單就能達到的事情，尋求高效能低學習成本的工具，儼然成為企業的主要著眼點。

Mavis 三大核心結合零信任與特權存取管理，幫助企業導入國際資安認證

上雲後的管理，許多企業目前都還是仰賴公有雲內建的系統進行維運操作，一旦企業需求變大，成為混和雲的環境，同時管理的複雜度會大幅度的提升，這不僅僅只是在跨系統面的操作面，人員的權限及內控管理面也備受挑戰。奔騰新一代混合雲IT治理稽核工具「Mavis」具備三大特色，為了滿足高資安規格企業的需求，除了維持第一代產品的主要功能，讓企業可以高效地管理多雲架構的同時，更透過零信任與特權存取管理兩大技術，落實特權用戶對資源存取的 IT 治理與合規政策，也進一步強化了稽核面不可或缺的資料備查能力。

1. 治理稽核：監控資源並記錄所有特權存取活動以其操作軌跡，所有的步驟將會一一被留存，可以符合公司政策或法令要求，讓稽核及問題排查可以更簡單的完成，輕鬆滿足企業內部規章與資安法尊需求。

2. 權限管理：權限管理，採用最小權限原則嚴格執行存取控管，根據組織職能賦予使用人員對應的權限及身分，藉以降低資安風險，提高各層級管控的有效性。權控設定輕鬆簡單，只需要透過點擊操作便可以快速部屬對應需求，不再存有舊式系統的複雜問題。

3. 跨雲集中：支援不同的雲服務供應商，以最經濟彈性的方式運用資源，同時讓維運人員可以更高效地執行任務。Mavis 在公有雲的支援上，服務 AWS, GCP, Azure 等知名大廠外，也支援地端伺服器及多種作業系統。

奔騰網路第一時間察覺並提供現代企業最需要獲得立即獲得改善的解決方案，因而推出 Mavis 作為市面第一款混合雲IT治理稽核工具，維運人員不再需要花費長時間的學習來熟悉各套軟體，只需要一套 Mavis 就可以完成一間企業所有的需求，大幅降低學習成本。

有效的稽核管理帶來無數價值

一個好的稽核管理，有如在公司扮演「啄木鳥」的角色，定期或不定期地抓取各個內控循環的蟲子，在有限的資源分配限制下，評估作業中的風險，做好預防措施，以降低企業營運風險。不過稽核管理並不事件輕鬆的事情，許多的問題需要花時間抽絲剝繭才能探究問題的核心，這也讓相關的作業變的相當地複雜且繁瑣。

各企業為了因應上市上櫃要求，在合乎相關法規前提下，需要建立完善的內部控制制度，而這項制度本身需要有定期的檢討與修定才能確保稽核的有效性，這也讓這項作業不能只靠人力來完成，有效的透過工具輔助將會是節省人力成本的關鍵之一。Mavis 正是市面上唯一一款混合雲IT治理稽核工具，賦能各企業最妥善的稽核能力。

稽核的核心在於如何將資料做好管理，除了要能夠快速的找到問題外，迅速地抽絲剝繭、釐清問題也是至關重要。透過 Mavis 進行操作，能夠讓所有的動作都備有完整的操作軌跡外，也有業界少見的錄製回放功能，透過用看的方式了解所有的動作過程，這讓就算不是熟悉程式語言的稽核人員，也能夠輕鬆地透過影像做好問題排查。

此外，過去各大企業屢有發生系統權限管控不當，一組帳密多人使用的狀況，這讓釐清各層級人員權責問題會變得相當困難。Mavis 提供全方位 RBAC 角色存取控制設定，賦予專案成員明確的權限及身份，避免人員跨資格存取並對資源進行操作，有效地降低資安風險，清楚的權責範圍還可以進而提升團隊的作業品質。

強化資安已成各大企業 IT 戰略目標

根據 TechOrange科技報橘進行的《2022 台灣產業科技趨勢大調查》，在「企業年度 IT 投資 TOP 5」中，企業對「資安防護投資」重視程度已呈現歷年新高站到第二名，台灣企業面臨的長期經營風險中，超過三分之一的受訪者都選擇「資安風險」。顯示近年資安議題的熱度提升，企業也不得不正視面對相關風險的因應措施。

奔騰網路有著長年雲原生開發技術，在過去明星產品及顧問團隊知識堆疊下，開發出單一平台完成管理混合雲及維運稽核的強力工具，以三大核心為理念，在最具備彈性的成本架構下，滿足企業全方位的需球，提供最安心可信賴的管理機制，確保企業在數位轉型，又或是上雲的時代，有著最卓越的工具輔助。