新闻回顾
近日的科技新闻中有一条爆炸性的新闻,一家为全球100多家汽车厂提供机器人和自动化等工程服务的加拿大供应商Level One被发现其数据库后门大开,其合作伙伴的机密文件可以被轻松访问,从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件……甚至员工的驾驶证和护照的扫描件等隐私信息,共计157G字节,包含近47,000个文件。
客户数据包括与Level One合作的通用、福特、特斯拉等100多家大型制造商的装配线和工厂原理图,保密协议和机器人的配置、规格、演示动画等。对于车厂来说,这些信息都是决定了公司竞争实力的绝密信息,一旦被竞争对手获得,企业可能会遭到灭顶之灾。
这个漏洞是被网络安全公司UpGuard的研究员Chris Vickery发现的,Chris Vickery说,通过暴露的备份服务器就能轻松找到Level One的数据,并且不需要密码或特殊访问权限,任何连接的人都可以下载这些材料。在漏洞发现时,rsync服务器上设置的权限表明,服务器竟然是可公开写入的!这意味着一些人可能已经更改了里面的文档,比如可能直接替换存款指令中的银行帐号或嵌入恶意软件。
新闻回顾来源于:量子位
【ISACA在COBIT 5中指出,所有的IT风险皆是业务风险。】
无疑这是一次极其严重的信息安全事故,设想一下,假如这家公司在布局业务发展的同时将业务风险、控制、安全,和合规等与IT机构等进行了很完善的规划并实施,并贯彻日常的IT审核机制,那么发生这样的信息泄露风险就会非常低了。
企业对信息安全的管理和掌控已成为业务发展的重中之重。企业风险管理(ERM)已经席卷全球,“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。
COBIT(Control Objectives for Information and related Technology)是由ISACA发布的安全与信息技术管理和控制的标准,目前最新的版本是COBIT 5。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。作为IT治理的核心模型, COBIT 5包含37个信息技术过程控制,并归集为1个管治域:评价、指导和监控(Evaluate, Direct, and Monitor)和四个管理域:定位、计划和组织(Align, Plan and Organise),创建、获取和实施(Build, Acquire and Implement),交付、服务和支持(Delivery, Service and Support),以及监控、评价和评估(Monitor, Evaluate and Assess)。 COBIT目前已成为国际上公认的IT管理与控制标准。
同时,随着对IT审计的需求日益增长,IT风控师/IT CRO也应酝而生。ISACA已推出风险与信息系统安全控制的新认证CRISC(Certified in Risk and Information Systems Control),面向首席风险官、风险管理、信息安全和业务连续性管理、隐私(Privacy)和信任(Trust)等职业人士,针对企业风险以及各种IT系统的安全控制管理,CRISC全面支撑COSO, Basel II/III,GAMP等企业风控。
CRISC是一款全球顶级IT从业资格认证。CRISC可以针对金融/银行业的IT Chief Risk Officer(CRO), 或是其它行业(比如:石油、医药、上市公司、跨国集团)的类似决策角色。CRISC跟CISA/CISM一样,由美国国防部和相关标准组织认定的职业认证。CRISC跟CISA,CISM等体系相互配合、兼容,主要针对企业IT组织的全面风控实践。
感谢刘广坤先生对本文的贡献
不知道大家对此次的新闻有什么看法和观点呢?或者你认为应该怎样避免此类的问题发生呢?快在评论区留言说出你的观点吧~
领取专属 10元无门槛券
私享最新 技术干货