觀點

讓資訊安全反璞歸真

2004 / 08 / 05
魯智深
讓資訊安全反璞歸真

偌大的會議室內,業務代表熟練地操作著滑鼠,配合一張張生動的投影片,清楚地傳遞著公司理念、產品特性、與競爭對手的差異,期望打動與會者的心弦,以便接下這筆訂單。突然的發問,打斷了原有的節奏… 「請問有沒有同業是你們公司的客戶?那你們又對這些同業提供哪些服務呢?」

業務代表一臉喜形於色,似乎早有萬全的準備,就等著大魚入網。 「有有有,那個A公司就是我們的大客戶,我們每個月都會和他們高階主管做報告,我這裡正好有上個星期做簡報的資料,來,我給你們看一下…」 業務代表迅速地切換檔案,A公司斗大的Logo秀在螢幕前,原本以為到此為止,沒想到業務代表又開始說了:「這是他們上個月的出貨量,下一張是最近半年的成長趨勢,我們還針對他們延遲下單的原因進行分析,我們分析的原因如下…」 我愕然!!!
資安不只是名詞
這樣的場景也許並不陌生,在很多不同的時空,都可以看到類似的故事上演著。當資訊安全已經不再僅限於電腦軟硬體設備時,我們對於使用者安全意識的訓練(security awareness training),卻似乎還停留在病毒、防火牆這些對大多數人而言遙不可及的名詞定義上。

許多中小企業主管,談到資訊安全的第一個反應不外是「這個現在很重要,但我們公司太小,這種只有大公司才需要做」,或是「這些都是需要花錢的,等將來一定要做的時候再說。」

但教育的工作,不用花很大的成本,而且是立即可做的。 告訴我們的使用者,不可以在電腦房內飲食、喝水甚至抽煙(很多人以為機房是密閉空間,抽煙不會妨礙到其他人,同時機房內有獨立的空調設備,可以清淨空氣),這不只是一條規定而已,而是在於保障電腦設備,不致因為水漬、殘渣導致電路不穩或是被鼠、蟻等破壞線路。 告訴使用者不要在網路上任意下載檔案,不要開啟垃圾郵件或其他來源不明的檔案,因為這些都是最容易遭受病毒感染的來源。檔案資料要定期備份,免得資料毀損時要花時間重新建立。規定並提醒使用者要注意這、不能做那…都是在做資安。

業務代表清了清喉嚨,又把我的思緒拉回到會場。

「我們公司對於這一陣子所談的資訊安全也非常重視,我們的員工和協力廠商都有簽訂保密協議,我們也和某企管顧問公司簽訂合約,請他們幫我們導入現在很熱門的資訊安全認證…」

我沈思!!!

資安不是口號標語
就像早些年各公司忙著在推ISO的時候,一個個品質標語貼在公司的牆壁上,每個人都把公司的品質目標隨身攜帶。實際到現場走一趟,一項工作要填四份表單,一份是ISO定義的,其餘的分別是為了內控內稽、電腦作業及實際工作需要。

當基礎的安全意識訓練無法確實而有效地落實在日常工作中,資訊安全這個議題,是否又步上過去的老路呢?是否會一次又一次在經意或不經意中,將公司的「資訊」洩漏出去呢?

回到現實的環境,業務代表露出燦爛的笑容:「今天的簡報到此告一個段落,希望很快能再有機會為各位服務」。我快步走出會議室,心中已經有了答案。