2023 CIO 大調查解析座談會 會後報導
在爭取客戶信任與維持商譽下,台新金控在成立金控資安管理委員會外,也會,定期執行資安演練 、社交工程測試、紅藍隊演練、DDoS 驗證。若發現有員工的測試不合格,在通報單位主管之外,也會進行 40 分鐘資安訓練課程。以下是台新金控資安長孫一仕分享內容的重點。
文/林裕洋
在駭客攻擊手法進化下,現今企業的資安意識提升不少,從 CIO IT 經理人公布的 2023 CIO 大調查報告中發現,有高達 40% 預算與資安相關。由於台新金控涵蓋台新銀行、台新證券、台新投信、台新投顧、台新創投、台新資產管理等,由於各子公司規模不同,可用資源也有差距,所以基本上專案都是先從銀行推動後,再將經驗分享到其他子公司。最後,台新金控每年進行資安成熟度評估,確保每個子公司都有做到相對應的安全要求。
目前台新金控已成立金控資安管理委員會,由金控總經理擔任委員長一職,要求各子公司一級主管都必須參加每季的定期會議,並在會中宣導注意事項,且會定期執行資安演練、社交工程測試、紅藍隊演練、DDoS 驗證。事實上,台新金控進行社交工程演練多年,若發現有員工的測試不合格,在通報單位主管之外,也會進行 40 分鐘資安訓練課程,協助提升整體資安程度。
[ 推薦閱讀:2023 金融及服務業 IT 投資重點 ]
2023年台新金控的資安預算會放在三大部分,首先在基礎資安部分,如需要汰換已經停止支援(End of Service)的硬體設備,軟體部分則會持續進行漏洞掃描的工作,並依照掃描結果進行修補,避免因為基礎架構漏洞造成資安事件。另外,在行動化時代下,行動網銀、網路銀行已經成為客戶不可或缺的仲要服務,過往都是仰賴客戶自身的資安機制。不過,考量到攻擊手法多元化下,台新金控已開始強化整體資安防護設計,藉此減少偽冒登入、詐騙的事件發生,在保護客戶的權益之外,也能兼顧公司的商譽。
台新金控資安預算投資的第二個重點,則是放在端點資安部分。考量到現今同仁會在公司外部使用行動設備辦公,所以必須思考讓同仁在外部處理業務時,也能享有與公司內部相同的資安防護等級。在兼顧方便性與安全性下,台新金控開始引進雲端平台的 Office 服務,藉此減少設備遭到惡意程式入侵的風險。除此之外,公司內部有很多連網設備,如三合一事務機等,也可能成為惡意程式入侵的破口,所以也會強化日常防護機制的涵蓋面。第三部分,台新金控在原本 ISO 27001 認證之外,目前則規劃取得 ISO 22301、ISO 27701 等認證,藉由引進國際標準方式,強化整體營運運作過程中的安全性。
[ 到CIO大調查專網首頁看更多文章 ]
(本文授權非營利轉載,請註明出處:CIO Taiwan)