社交媒體藏資安漏洞　開放或阻擋CIO陷兩難

前言：
當社交媒體成為現代人的重要溝通平台，不論時間、地點只要有問題或空閒時，都會透過社交媒體提問，了解朋友的動態。但面對社交媒體這個開放平台，就個人交友與累積人脈是很方便，但看在企業資訊人員眼中，則是潛藏的資安大漏洞，禁止與否都有問題需要面對。

主文：
從即時通訊(IM)開始，到目前熱門的Facebook、Twitter或微博，社交媒體雖然為個人交友帶來便利；另一方面，卻成了企業資訊人員最頭痛的問題，只要稍有不甚，就會中毒，輕則個人電腦當機，嚴重者卻可能影響到企業資訊系統的運作。

除了是病毒入侵的門戶，同樣的，也是企業機密資料外洩的管道。社交媒體究竟要全面封鎖還是開放，在企業內永遠有支持與反對兩派意見相佐，也苦了實際執行的資訊人員。

如果社交媒體的使用沒有為企業帶來重大困擾，多數企業主及資訊人員通常採睜1隻眼閉1隻眼的消極態度，只要不影響正常工作，資訊人員也不會刻意封鎖。但即使資訊人員不斷提醒，也非所有員工都會小心注意，因此常常讓社交媒體成為企業資安的漏洞，動不動就中毒，影響企業正常運作。

正因為資安問題發生頻繁，讓企業主及資安人員不得不全面封鎖社交媒體。只是當社交媒體被封鎖後，通常會引來員工的反彈，表示這是他們與客戶溝通的重要管道，一旦遭禁用，會大大影響他們的業務。

像這樣的問題，隨著社交媒體的應用日趨多元，開放與封鎖的爭論相信只會愈加激烈，讓CIO陷入兩難。

社交媒體資安威脅日趨嚴重　引發企業重視

日前才遭資訊安全廠商指出，Facebook有將使用者隱私外洩給未經同意的第3方公司或廣告商的疑慮，且至目前為止可能已經有10萬個以上的Facebook應用程式受到影響。接著又傳出Facebook遭到垃圾訊息(Spam)攻擊的消息，陸續有使用者發現其個人塗鴉牆(Wall)上充滿了好友要求進行帳戶認證的訊息，大量的訊息透過社群網路快速傳播。

足見Facebook雖然有個資外洩疑慮，同時也是殭屍病毒最愛藏身的溫床，但使用者在關注消息之餘，已養成使用社群的習慣，似乎已很難捨棄。

最近美國有1項由哈理斯互動公司(Harris Interactive)進行的調查顯示，有3分之2的美國人認為Facebook、Google等網路巨頭控制了太多的個人隱私資訊，威脅到個人隱私安全。

不過事實上，美國網友也是居Facebook、Google主要會員數的國家；現在大家一方面享受著社群的便利，另一方面只能有意無意淡化安全的疑慮。

個人應用可以如此，但安全問題影響企業甚劇，CIO將無法坐視安全的威脅。因為，監督及管理社交媒體潛藏的安全漏洞，全面封鎖是最好的方法，也更容易。

只是當社交媒體被當成是1種業務、行銷的工具使用時，CIO就會面臨平衡業務需求與安全維護問題。尤其是社群應用方興未艾，其中可能的應用與發展仍在變化中，更為CIO在資安維護上增添變數。

完全仰賴安全工具　不如確實執行資安政策

Forrester的安全分析師Jonathan Penn表示，很多企業的政策是即便有業務需求，仍不許員工使用社交媒體。但實際上，在企業政策制定與執行前，員工已經開始使用社交媒體，以致企業的資安政策無法跟上。

看上社群網站廣大用戶數，許多企業開始積極透過社群平台進行業務推展或與用戶溝通。如此，CIO面臨的資安問題除了企業安全、網路品質維護外，又多了社群用戶個資的維護責任，讓問題更加複雜。

因應企業機密外洩與駭客入侵，市場上早有資料外洩防護(DLP)及入侵偵策防禦(IDS)等設備推出。

現在為協助企業針對員工使用社交媒體衍生的資安問題進行監控，資安廠商推出各式的資安設備，就內部員工控管部分有下世代防火牆、Web內容過濾工具等產品推出，強調可分層控管社群媒體，便於企業資訊人員依員工需求設定權限，既不影響業務推展，同時達到控管目的。

除此，還有協助企業追蹤社交媒體上出現與企業相關資訊的監測工具，除了可以監控社群上不利於企業聲譽的資訊，及時因應，另一方面也可以用來確認是否有員工披露企業的敏感資訊。

不過，這些資安設備多數價格不斐，並非所有企業都有添購的意願及能力。且有了工具輔助也不可完全保證安全；更重要的是企業是否有明確的資安政策且確實執行，相信這才是抵禦社交媒體安全威脅的最重要防線。