DaveC
chiahua on Twitter
RT
看著一堆被駭的新聞,想必最近一難堆政府機關會開始要求資安。

但資安這塊不是下個指令給下屬「一週內改善完成」就能達成的事,反而可能會逼下屬避重就輕的回報,或甚至採取更糟的行動。

首先要先認知資安是很特別的一塊,不是會寫程式會修電腦就懂,要找專家。專家可以概分為測試和實作兩部分。(續)
DaveC
測試和實作最好分開找。最後就是資安要花錢和時間,而且最貴的不是找專家的部分,是修改檢測到問題的部分。

有可能當年三萬塊找來做的網站或服務,要整個打掉重作。
DaveC
公部門中除了執行者外還有監督者的角色。以下是我的建議:

1.詢問有無每年做資安檢測。
2.詢問資安檢測報告中,評估優先修改的部分,是否已編列預算改善。

監督者重點在盯著能撬動系統的槓桿點,正確的對行政部門施力。而不是發脾氣亂罵一通,或更糟的是對錯誤的地方施力,浪費了時間、精力和金錢。
DaveC
---今年上市櫃資安措施政策開始實施。政策其中是有資安檢測一環。
把已知的漏洞先掃一掃。再來是整個公司內外環境做安全上評估。
天光已現 | pee
台灣一班資安廠商做的掃描就是拿開放軟體跑一下,檢查完後中國駭客來掃一下,漏洞一大堆,他們才能要用時隨時有一大堆機器可以用
天光已現 | pee
台灣資安公司說不定也該檢驗一下
9899283
日防夜防,家賊難防啊
天光已現 | pee
技不如人也是真的
kosan_yj
“曲突徙薪無恩澤”的資安啊
載入新的回覆