在這一波危機中,除了各界對受影響的 NPO 提供協助,微軟也陪同 NPO 夥伴們一起尋找解決方法,並支持本次活動:希望透過專業講師的授課、NPO 夥伴的現身分享和動手實做的工作坊,介紹「Microsoft 365 非營利版方案」所提供的資安機制,幫助 NPO 夥伴們了解如何善用方案中免費、或付費的授權;聽聽其他組織的做法,並透過實作練習,學習在 M365 的架構上操作與設定,讓組織工作人員的電腦、行動裝置和資料數據都能獲得更好的資安保護。
本場活動(活動網頁)有雲馥數位的黃健瑋(解決方案架構師)、何嘉瑩(資深工程師)和 Betty(雲端工程師),分享資安的基礎概念,並帶領大家動手實做的工作坊;也有台灣世界展望會的資訊發展處處長陳冠仁,分享世展透過 M365 非營利版進行數位轉型的準備、策略和過程中的甘苦談。本次活動共有來自 28 個組織的 46 位夥伴,一起參與(現場活動照片可見 Flickr)。
本場活動(活動網頁)有雲馥數位的黃健瑋(解決方案架構師)、何嘉瑩(資深工程師)和 Betty(雲端工程師),分享資安的基礎概念,並帶領大家動手實做的工作坊;也有台灣世界展望會的資訊發展處處長陳冠仁,分享世展透過 M365 非營利版進行數位轉型的準備、策略和過程中的甘苦談。本次活動共有來自 28 個組織的 46 位夥伴,一起參與(現場活動照片可見 Flickr)。
活動從邀請與會者一起思考「對資安的聯想—想到資安、想到什麼?」、以及「非營利組織面對資安的挑戰有那些?」,並讓大家快速地分享和整理在白板上,幫助與會者和講者在今天的活動中更聚焦,再往下進行演講和實作。
一、黃健瑋(Jackson,解決方案架構師):Microsoft 365 資安快易通
資安管理的重點是「人」,使用者有良好的資安意識,搭配初步的資安解決方案,其實可以避免大多數的資安問題。
因此,第一個基本概念就是:「使用者的方便程度」會和「資安嚴謹度」成反比,通常資安越嚴密,對使用者就會越不方便。
在疫情中間,也會看到不論是大企業或是 NPO,都有遭受駭客攻擊的風險。並且依照台灣的法律(營業祕密法、個人資料保護法),不論是營利或非營利組織都必須承擔保護個資的責任。
而一般在企業中,常見的資安檢測措施有:
- 弱點掃描
- 滲透測試
- 紅隊演練
- 源碼檢測
而關於資安的攻擊和入侵,和一般「犯罪鐵三角」的要素是類似的:
- 有動機的犯罪者
- 缺乏有效的監控
- 合適的目標
防堵組織的資安被入侵的流程,和 COVID-19 防疫的流程有點類似,都要作到:入口檢測→資安解決方案的導入→持續監控→永續防護。每個環節底下,都有相對應的正常和異常的狀況,以及必須採取的行動。
M365 非營利版可以提供組織內部和外部的防護。內部防護主要針對組織內鬼或資安意識薄弱的使用者,相關工具包括:資訊保護 AIP、資料外洩防護 DLP 和裝置控管 Intune。
而在外部防護的部份,包括:信件、端點電腦、帳戶、身份識別和雲端應用等面向,M365 都有相對應的工具,提供從基礎到進階的防護措施。
使用這些工具或服務之前,組織要先盤整內部的機敏資料,以及對各層級主管的影響。因為不同的位階能掌握的機敏資料不同,通常層級越高越需要更多保護。
所以組織會需要透過評估的程序,分階段導入相應的資安計畫,來有效降低導入的風險與時間。通常會有以下四個階段:
- LV0:使用 Line、FB 等通訊軟體進行分享
- LV1:善用雲端的生產力工具達到多人協作、歷程追蹤、分層權限設定。
- 從 LV0 往 LV1 移動時,要把公私混用的通訊軟體,拆分成公司專用。並把檔案依組織分層分級管理,限定人員共編,盡量不要讓使用者看到不需要的檔案(簡報中有詳細的使用規則)
- LV2:檔案與信件的偵測加密,機敏性資訊不會離開企業管控的範圍。
- 推薦使用 Teams,不要用 Line。
- LV3:針對企業的裝置進行軟硬體功能的控管
二、陳冠仁(Peter,台灣世界展望會的資訊發展處處長):數位轉型分享
Peter 原本服務於企業界,進入世展會是第一次遭遇 NPO 組織,也發現組織內的系統很多、整併不易,許多原本應該讓工作人員事半功倍的系統,反而增加了工作量。為了達成「系統整合性、資料一致性維護和資料安全性維護」,組織決定展開數位轉型的大工作。
適逢 COVID-19 疫情,正好成為「資料整合測試」和「遠距工作測試」的時機,也發現「沒有適當的數位環境及目標,轉型的理想有其落地的困難」。
為了達成數位轉型的 Reboot(重開機),從上而下和從下往上,都很重要。首先成立了「數位轉型委員會」,由最高階層的主管們組成,主要任務是:「數位轉型成功的場景是什麼?」
並且這些主管都要當網紅、帶頭使用,因為數位工具會為使用者帶來改變,但改變是大家都抗拒的。而在「數位化」之後,才是「數位優化」——把大家都引導到同一個使用場景之後,才能把營運優化,才能進入「數位轉型」的最後層次。
而先行的 Pilot Project 就是「資料不落地 O365」,解決「資料不一致」的問題,才能定義範圍和使用者行為,讓大家「走在同一條路上」進行收斂;並且推廣溝通無障礙的 Teams。
數位轉型要做的事太多,「老司機很重要」。微軟是個龐大的家族,不管在 Roadmap, Talents, 和 Budget 上,都有相對應的顧問和解決方案;很多線上資源的認證也代表微軟有相對應的資料提供,讓同仁進修有明確的方向;並且每個環節都找得到解決方案和專家,組織不怕走到一半會懸空。
而最後組織的目標,就是達成:「以雲端為中心的行動辦公室,和以數據為核心的數位營運團隊」。
目前在資安上,也使用了 M365 非營利版相對應的授權內容進行設定,至少可以透過解決方案拿到一個合理期待的安全值。
本場次獲得許多組織的熱情回饋和發問,包括勵馨、無國界醫生、心路和計程車學院學會等等,而 Peter 也分享曾經失敗過、再次嘗試之後的心得與眉角。
三、Anthea 和 Betty:實做工作坊
下午的實做由二位工程師,教導大家進行以下六點內容的實做。參與者登入 M365 admin center,嘗試進行操作。如果您組織 M365 超級管理員的身份,也可以登入之後,試著按照簡報的內容,操作看看喔!
小結
在結束前邀請每位與會伙伴,分享今天一日的收獲或任何想分享的話。回顧早上所討論的挑戰,一日的分享和學習,讓大家覺得更有方向,更知道接下來如何運用現有資源,讓組織的資安往前邁進。會後問卷也看到大家的滿意以及回饋:
- 可再思量組織想要數位轉型到底組織的目標是什麼,而不是盲目地買系統
- 多一些資安的可能方向,及進行 O365 的安全性功能的學習與測試。
- 對微軟在資安方面的解決方案,有了更多、更新的認識
- 學習資安知識與實務操作,回組織後會與同事分享與應用。
- 郵件與檔案協作,可以加密或是限制使用規則。在寄送郵件與附加檔案的限制,與機敏資料的警覺性。
- 雲馥和世展會的分享都非常棒!資安的升級和數位轉型正是我們組織的兩大重點,每一個分享都非常實用!
0 意見:
張貼留言