讓資訊安全反璞歸真

偌大的會議室內，業務代表熟練地操作著滑鼠，配合一張張生動的投影片，清楚地傳遞著公司理念、產品特性、與競爭對手的差異，期望打動與會者的心弦，以便接下這筆訂單。突然的發問，打斷了原有的節奏… 「請問有沒有同業是你們公司的客戶？那你們又對這些同業提供哪些服務呢？」

業務代表一臉喜形於色，似乎早有萬全的準備，就等著大魚入網。 「有有有，那個A公司就是我們的大客戶，我們每個月都會和他們高階主管做報告，我這裡正好有上個星期做簡報的資料，來，我給你們看一下…」 業務代表迅速地切換檔案，A公司斗大的Logo秀在螢幕前，原本以為到此為止，沒想到業務代表又開始說了：「這是他們上個月的出貨量，下一張是最近半年的成長趨勢，我們還針對他們延遲下單的原因進行分析，我們分析的原因如下…」 我愕然！！！
資安不只是名詞
這樣的場景也許並不陌生，在很多不同的時空，都可以看到類似的故事上演著。當資訊安全已經不再僅限於電腦軟硬體設備時，我們對於使用者安全意識的訓練（security awareness training），卻似乎還停留在病毒、防火牆這些對大多數人而言遙不可及的名詞定義上。

許多中小企業主管，談到資訊安全的第一個反應不外是「這個現在很重要，但我們公司太小，這種只有大公司才需要做」，或是「這些都是需要花錢的，等將來一定要做的時候再說。」

但教育的工作，不用花很大的成本，而且是立即可做的。 告訴我們的使用者，不可以在電腦房內飲食、喝水甚至抽煙（很多人以為機房是密閉空間，抽煙不會妨礙到其他人，同時機房內有獨立的空調設備，可以清淨空氣），這不只是一條規定而已，而是在於保障電腦設備，不致因為水漬、殘渣導致電路不穩或是被鼠、蟻等破壞線路。 告訴使用者不要在網路上任意下載檔案，不要開啟垃圾郵件或其他來源不明的檔案，因為這些都是最容易遭受病毒感染的來源。檔案資料要定期備份，免得資料毀損時要花時間重新建立。規定並提醒使用者要注意這、不能做那…都是在做資安。

業務代表清了清喉嚨，又把我的思緒拉回到會場。

「我們公司對於這一陣子所談的資訊安全也非常重視，我們的員工和協力廠商都有簽訂保密協議，我們也和某企管顧問公司簽訂合約，請他們幫我們導入現在很熱門的資訊安全認證…」

我沈思！！！

資安不是口號標語
就像早些年各公司忙著在推ISO的時候，一個個品質標語貼在公司的牆壁上，每個人都把公司的品質目標隨身攜帶。實際到現場走一趟，一項工作要填四份表單，一份是ISO定義的，其餘的分別是為了內控內稽、電腦作業及實際工作需要。

當基礎的安全意識訓練無法確實而有效地落實在日常工作中，資訊安全這個議題，是否又步上過去的老路呢？是否會一次又一次在經意或不經意中，將公司的「資訊」洩漏出去呢？

回到現實的環境，業務代表露出燦爛的笑容：「今天的簡報到此告一個段落，希望很快能再有機會為各位服務」。我快步走出會議室，心中已經有了答案。