https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

揮別金融資安夢魘 金融業資訊安全實務研討會

2004 / 08 / 04
潘玉女
揮別金融資安夢魘  金融業資訊安全實務研討會

或許是因為金融業者受到前陣子資安事件的衝擊,真正意識到若不趕緊了解及落實金融資安,則日後將有可能須面對無法承受之損失。因此本次活動一經宣布,就吸引大量的金融業者報名參加。為期半天的活動吸引了一百五十餘位聽眾,出席率超過百分之百。

在進入演講活動前,資安人雜誌召集人侍家驊除了代表主辦單位歡迎四位主講者的蒞臨,以及金融業者的熱烈參與外,更提出三點呼籲:首先,中華民國需要資訊部,這點需要凝聚產、官、學、研各界的共識,並加以推動落實;其次,呼籲在座所有金融從業人員善盡個人隱私資料保護的責任;最後,他鼓勵大家利用各種管道,例如上資安人科技網(www.informationsecurity.com.tw)的「專家Q&A」專區,對資安問題充分交流,提出疑問或尋求解答。
資訊安全風險控管
財金公司安控部經理陳柳元主講「資訊安全風險控管」議題,他從「資安與風險評估」、「資安潛在威脅與管控對策」以及「資安風險控管實務」三大面向來說明。 他指出,資訊、系統、網路都是重要資產,金融機構資訊的機密性、完整性及可用性,與機構的競爭力息息相關,因此必須針對資訊安全做全方位的評估,以降低企業的資訊風險。而評估的項目包括資產、資產價值、弱點、威脅、資安風險、資安需求及資安的管控等。 他指出,資安的風險是可以被量化的,且唯有量化,才能讓大家真正感受到它的重要性,並知道該從哪一方面開始著手解決。

導入資訊安全防範措施,可以降低企業受到資安問題的危害。導入前首先仍應做評估,建立風險管理程序,並依實際狀況選擇適合的風險控管方式。 他提到,金融機構所面臨的風險包括市場風險、信用風險、作業風險、流動性風險、法規風險、系統性風險、信譽風險以及策略風險,而其中以信用風險佔最高比例(約60%),其次是作業風險(30%),市場風險及其他風險則各佔5%。 要落實巴賽爾(Basel)對金融機構作業風險的管理,除了內部宣導外,應逐步展開設置專責單位及分派專責人員負責作業風險之辨識、衡量與監控,建置作業風險管理機制;再來,應針對各項作業風險指標進行追蹤與自身重評,並量化作業風險;至於將作業風險管理充分融入整體的風險管理。

最後,他提出幾點成功的要素:1. 有相同於經營目標之安全策略、目標和活動;2. 與組織一致的文化;3.來自最高管理者的承諾和支持;4. 容易理解的安全性要求;5. 對全部同仁的有效推動;6. 適當的訓練與教育。

金融業營運持續管理
第二場由英國BSi標準協會經理蒲樹盛主講「金融業營運持續管理」。蒲樹盛提出幾個針對企業的調查數據,包括:台灣中小企業目前只有不到30%實施網際網路安全政策;94%的英國大企業在2003年曾遭到安全破壞;單一的安全事件中損失最高可達到台幣950萬;美國銀行業由於網路安全問題導致電腦系統中斷,每次的損失平均為1000萬美元;美國證券公司或基金公司每小時的產業停機時間成本是64.5萬美元…等,來印證資訊安全的重要性。

若要企業長治久安,必須能「預料無法預料的事」,而訂定BCM營運持續管理計畫,能從一個全面的管理過程,鑑別威脅組織的潛在衝擊,協助建立彈性的框架,以保護股東、聲望、品牌與價值利益,並有效因應問題的發生。 BCM有其步驟週期,一是瞭解您的營運,包括營運目標為何?符合這些目標所要求的產品或服務為何?需達成的時間為何?誰需要參與以達成目標?以及如何達成營運目標? 其次,應建立BCM策略。發展BCM策略時,應考慮三種層級:組織(整體)、流程層,以及資源復原等BCM策略層級,而其策略性選項包括:1. 不做任何事承受該項風險;2.流程轉移;3.終止或改變;4.保險;5.緩和損失。 第三,應發展與實施BCM計畫(BCP)。考慮以下內容:1.鑑別並協議所有權責及緊急程序;2.必須在要求時間內完成復原工作,需特別注意與外部的營運依存要件( business dependency)與合約的適當性;3.程序文件化;4.適當的員工訓練,包括危機管理;5.測試並更新計畫。 第四,應兼顧BCM文化的建立與深化,考量長期過程且可能遇見不可低估的抗拒;針對組織策略與日常管理的重要部分,持續利用教育、認知訓練與參與,造成文化改變;提出計畫—建立企業認知,加強實施、維護、管理與執行BCM所需的工作說明、技巧、知識與經驗;來自主管、資深管理階層同意並簽署書面BCM願景與政策聲明及支援…等。
第五,則是演練、維護與稽核。也就是採用各種技術確保計畫能實際運作,包括: 沙盤推演、狀況模擬、技術性復原測試、測試異地復原、測試供應商的設施和服務、完整演練等。

作業風險管理實務與電腦鑑識
「作業風險管理實務與電腦鑑識」由勤業眾信企業風險管理部副總經理萬幼筠講解。他提到,包括金融全球化、電子商務成長、金融機構大規模整合或合併…,諸多因素都使得金融機構之監理當局開始注意作業風險一事,而法令的要求,也使得金融機構開始做好風險評估與管理。

萬幼筠介紹了Basel II作業風險管理之需求與意涵,他提到 Basel 的精神讓金融業者做好風險管理,就能獲得rewards。他一一講解了Basel II風險管控的需求、作業風險管理要求的現況、整合性風險管理機制等。

整合性風險管理機制的架構中,介紹了作業風險管理的要求、作業風險管理可能的組織架構,並介紹了風險管理中的四大要素:組織、政策、文化與流程之間的關係。 他提到作業風險之七種事件類型,包括:內部舞弊、外部舞弊、人員聘僱實務與工作場所安全、客戶/產品與經營實務、營運中斷與系統失效、實體資產損毀、業務執行/服務提供與流程管理;以及作業風險控管之風險類型:人、程序、系統以及委外。 當然他也提到了風險的移轉與緩解,並強調營運持續計畫(BCP)、保險、強化控管機制的重要性。此外,他並提醒金融機構因委外而產生安全漏洞很多,更應利用整合性的風險管理概念來預防災難發生。

另外,為了因應這些挑戰,萬幼筠也指出金融機構可以充分利用電腦鑑識的方法及工具。 美國金融機構如何做好安全風險管理

CA總部資深產品經理白培瑩,則是由廠商的觀點,輔以一個北美金融機構的案例,來探討金融機構如何落實安全風險管理,並分享各種不同的安全管理實作規劃經驗。 他提到,在FBI每年針對企業做的調查顯示,有80%的安全問題都是來自於內部的員工及管理,而非外部的病毒或攻擊。其實很多金融單位不是沒有資安設備,而是缺乏內部控管。他認為金融機構在安全方面,應做到建立威脅解決方案、存取控管、身分識別控管以及所有安全資訊的管理。 對於安全資料,應主動加以收集、智慧化分析,才能據之而採取有效的行動,如此一來不但可以解決問題,更可以去預測將來可能發生的問題。有效的管理,應兼顧人、程序以及產品。根據FBI的調查,存取控管、身分識別控管可有效做好內部管理,降低作業風險。 案例探討中的主角,是一家位於北美洲,名列Fortune雜誌前100大的金融服務公司,提供包括金融、保險及投資方面的服務,在全球擁有超過20萬名員工,客戶遍布全球100個以上的國家、超過1億人。資產額則超過一兆。 這家金融機構在做了安全風險的評估後,發現在身分管理、存取管理及資安/稽核需求上,都須花費大量的成本。為了減少成本支出,應導入自動識別系統、功能更強大的存取管理、更安全的稽核管理以及做好災難後復原的計畫。最後白培瑩並跟與會者分享了安全管理的實作五點:了解企業環境、人員/流程的自動化與合理化、強化稽核與集中管理。

本次的研討會限於時間關係,很多內容都無法在短短一個上午分享完畢,本刊將持續追蹤更多相關議題,在日後提供更詳細的報導給讀者。