擁有25年IT實務經驗的Jackee Ireland,如何引領Intel發展出自己的全球IT風險管理哲學,並且納入Intel中期事業營運策略規劃中思考。
1. 請談談Intel對員工的資訊安全管理尺度?
以前Intel採取開放政策,員工可以攜帶自己的NB、不用檢查就可連上內部網路,後來2000~2001年間爆發CodeRed、Nimda病毒擴散事件,對我們也造成影響。所以我們現在的尺度是稍做管制。雖然每個人對於他的電腦都有系統管理者權限,但Intel允許且信任大家所裝在Intel PC上的東西都是合法的。我們會去檢查員工是否擁有該軟體的合法授權,如果沒有就需移除。現在工作/生活的界線已模糊,每個人難免會把公司電腦用於私人用途,但IT至少要做一些檢查:是否已上正確的修補程式、作業系統的層級、防毒軟體正常開啟、主機型入侵防禦系統(HIPS)等,有了這些才能連上內部網路。但我們仍然不允許私人的NB進到內部網路,一定要是Intel的設備資產才行。
我知道很多公司會採取全面封鎖的政策,但對我們來說員工必須時常與各國聯繫,全面封鎖是行不通的。而且比起稍作開放的管理政策來說,要做到全面封鎖得花更多錢,包括後續會需要技術支援、檔案復原、基本安全政策的維護等。
2. 如何定義不同的個人使用權限?
我們有一套資安準則,裡面說明了個人使用的合理範圍。如果你攜帶私人NB而且拿去送修,而你又放重要的財務資料在裡頭,卻因為送修而全部不見,你能接受嗎?我們會將這些全部列在準則裡,雖然有點嚴格,但我們要避免有不肖員工,萬一有人真的違反政策,我們會將他交由人資部門處置。
3. 如果員工自己下載軟體被夾帶惡意程式?
這種情形Intel也常發生,因為我們是採取開放管理。所以我們常舉辦資安宣導,有整套的教育訓練課程。大部分時候付費的軟體比較安全,我們會告訴使用者不要使用免費軟體,沒有什麼是免費的,總是會有代價。如果真有人電腦中毒,被我們偵測到後就把他的電腦封鎖。
4. IS團隊的主要職責?
包含IT技術風險評鑑、法規、政策制定與教育訓練、維持資訊可用性與保護等。我們風險管理團隊不只看技術、流程也包括IT專案。IT專案在Intel裡很重要,舉個我們協助IT專案做技術風險評鑑的例子,先前要導入Skype時,測試時發現我們的HIPS會以為Skype是惡意程式,就把它關掉。後來我們團隊與Skype工程師合作,找出能適合Intel環境安全使用的解決方法後才正式導入;另外,如果是網管人員想要修改路由器的設定,我們團隊也會介入,定義出所有可能會發生的情境,並一一確保各種會影響現有系統、電子郵件運作的問題不會產生。
說到政策制定與教育訓練,我認為這是最不需要花太多錢,但效果很好的資安投資策略。過去我們員工大概只有20%的人具有資安意識,但經過教育訓練後,大概98%的同仁都有不錯的概念。在我們負責教育訓練的團隊裡面,我們納進了具有行銷專長的同仁加入成為講師,不是技術背景的他們,反而更能協助我們傳達資安的觀念。此外有一點對跨國企業來說很重要,就是資安教育訓練必須融入各國不同的當地文化。對中國員工來說安全代表著家庭,對美國員工來說卻代表槍枝等防禦。所以在訪談過後我們的教育訓練講師就知道如何融入當地文化,讓各地員工更能接受資安觀念。法規的部份,我們必須花很多時間來遵循各種法規,包括沙賓法案、電子化資料探索、科技輸出管制法案等。
5. 資料保護之道?
因為資料分散在公司各處,所以資料保護的方式就是採取層層防護的縱深防禦。
6. 談談IT風險管理的哲學?
首先,擴大IT的層面,包括企業營運流程、委外作業事項、專案、採購與合約、企業購併計畫等這些都要看。至於系統弱點,的確對企業造成很重大影響,尤其做資安的我們總是落後威脅一步,但我認為現在最弱的其實是非技術層面的,尤其是人,例如現在網頁應用程式有半數都是自行開發的,就增加許多漏洞產生的機會。第三、我認為風險管理應該被融入企業營運的策略規劃當中思考。過去Intel是在1~3年的年度規劃中加入考慮風險管理,但這是不夠的,所以後來在5~8年的年度規劃中,IT風險管理就趁早參與,並提供我們的觀點。
7. 多久養成這個風險管理方法?是什麼動機讓你從做資安擴大到風險管理?
我們在8年前就有這樣的觀念,但是慢慢在5年前開始做的較完善。至於為什麼會由傳統資安作法導向風險管理的視野,當然也是因為一些資安事件的發生,例如之前提到的Nimda病毒擴散事件已讓高層對資安更為重視,接著微軟開始定期公開修補程式,以及法規遵循的需求等,一連串的事情幾乎在同一時間發生,於是我們有人開始說我們需要一個更全面的觀點來進行,所以就開始去找曾經有過這樣經驗的資源,來提供我們建議。後來我從President''s Advisory Council、Information Risk Executive Council等處看到許多資料,於是我們就開始慢慢從中研究,並摸索出我們的風險管理之道。
8. 你對誰報告、他們如何衡量你的績效?
我對CIO報告,而我們CIO則是對CFO報告。通常CIO看我們的績效,主要會是看我們是否讓Intel完全保持在合法的狀態。其次則與其他資安工作一樣,看是否保持機密性C、完整性I、可用性A等。
9. 對你來說最大的挑戰是什麼?
對我而言,最困難的是法規很多而且常常在變,而我們必須確認Intel上上下下能符合所有法規,這是一大挑戰。此外,對跨國企業來說,有時還會有各國法規相互牴觸的問題。例如先前印度政府訂出一條法規,希望所有的員工資料能透過網際網路查詢得到,沒有隱私可言。但這對歐盟國家法律來說是完全相反的。所以我們花時間與他們溝通,後來他們也修正了這條法規。
10. 如何得到高層支持?
經過Nimda事件高層已開始重視資安,而資安訊息需要由上層來呼籲,從上一任CEO Craig Barrett到現任Paul Otellini都曾對員工呼籲,告訴Intel員工你必須接受資安教育訓練、必須按照IT部門所提的來做等,這對我們在推動資安工作幫助很大。儘管我們去要預算還是得努力爭取,但我們的方式是去證明我們的採購需求與目的,我們會說因為過去管理鬆散的環境,在不同單位有不同的管理政策才導致問題發生,而我們會證明我們不需要花到太多錢。因為過去一些還不錯的聲譽,讓上面覺得我們的規劃是有遠見的。我們不會去說如果不作這項資安投資就會有人來攻擊,或天要塌下來等字眼來做恐嚇訴求,那沒有用。此外,對董事會成員談論法規遵循的重要性也對於推動高層重視資安很有幫助。
11. 如何讓合作夥伴也配合你們的IT風險管理政策?
過去對於他們提出一些違法政策的新想法,我們總是會說不行、不行、不行。但現在我們會試著說我們來看要怎麼做會更安全。我認為只要他們部門上面的資深管理階層願意承受這麼做的風險就好,他們有時候會自己承擔,但大多數時候會跟我們說,那我們來看看要如何降低這個風險。
12. 如何對外部合作夥伴進行風管?
如果是事業上的合作夥伴來說,我們會去要求他們必須通過一些國際的安全標準,例如ISO 17799,而我們也會去檢查。我們通常會與他們建置起通訊閘道,以確保他們不會接觸到我們的機密資料,而我們也不會接觸到他們的。這部份其實問題還好,對我們來說如果是一些通用性的例如人資專案的委外或軟體委外開發時,會比較難去釐清該如何保護資料,當資料是在我們防火牆之外時。
13. 你們有內部資安網站?
我們有一個Secure Intel.com的內部資安網站,許多我們的資安準則(總計有150條)都放在裡面,讓各國分公司同仁進來查詢,這也是Intel內部點擊率第2高的網站!除了有資安政策之外,我們也放了許多資安認知的教材,包括如何保護你家裡的網路、如何在家架設安全的無線網路等,對同仁來說都是很實用的資安資訊,所以許多同仁都會上來看看。
14. 給其他資安長的建議?
我的建議是,第1、對高層溝通時不要太誇大了資安威脅的問題,不要講的像是世界末日,如果用太多恐嚇語調,講了2~3次之後他們就不會再聽了。第2、要找CFO溝通時,可以找一些其他部門的資深經理,先跟大家建立起合作關係,這樣去談也會很有幫助。第3、要去爭取預算時,不用想要太多,因為那樣也不會過,不如找出最重要的一項來說就好,這是我的經驗。