來自醫藥界的資訊安全啟示 預防勝於治療

公共衛生強調預防
直到十九世紀公共衛生的想法出現，疾病預防才顯得比較實際。透過消除疾病的來源，醫藥從治療性質演進到了預防性質。資訊安全界也正在進行同樣的轉變，其基本性質從反應問題轉進到了預防問題。

礙於知識不足，早期的內科醫師發展出如放血般極度愚蠢與無效率的醫療方式。他們並不知道，擁有乾淨環境與清潔衛生，以及充分營養才是治療疾病的根本之道。

資訊安全業者並不會如上述般的摸不著頭緒，但我們的許多做法都是窮於構思。傳統的醫藥及資訊安全做法都是源自於典據的做法，但是這些做法的效能與功用卻未經評估。每種專業都必須要有完好評估方式的治療方法，以及能夠展示成效的預防措施。

透過蒐集並且分析資料，可以有效發現問題甚至消除這項問題。著名的例子是，當1854年英國醫生John Snow切斷地下水源之後，附近地區霍亂病的發生立即減少。這個結果顯示了此種病毒與特定水源的關聯性。訓練有素的研究人員通常需要發展一套實際的正規量測方法，以便外行人也能在低成本的情況下去實行與檢測。

從問題找出改善措施
企業治理上的新觀點也是採用了相同的理念來處理作業上的風險，應用在資訊安全上，更是再明顯不過。一旦根本問題被找出來，即設計出一種避免方式；一旦作業被更改，便不斷地監測結果並持續地調整順序。使用這種最佳方式的安全管理人員及其客戶都能有較少的困擾。

另一項重要的議題是，以上這些最佳解決方法並無法自動自發地切實執行出來，提高安全認知的教育訓練更必須全面地推展開來。在許多情況下，額外的鼓勵與處罰措施都是增進效果的好方法。為了避免病情復發，保健人員必須不斷地用最佳方式去量測其療效。為了預防高傳染性的疾病，當少數人的健康有可能會危害到整體時，政府必須採用強制的預防措施（如強制幼童施打疫苗等）。這種方式雖然尚未應用於資訊安全界，但其引進指日可待。

不斷檢查確保衛生
企業的稽核人員就像是公共衛生人員，負責監測效率的指標，且保證最佳的運作方法運行於公司的IT環境中。效率指標是至關緊要的，這就是為什麼大量的研究是針對它的設計以及不斷改善。相對的，資訊安全界的最大挑戰就是要發展出一種可以簡單診斷出感染症狀的實用指標。這兩種目標的達成都有賴於規則的不斷精煉。

公共衛生的目標是讓疾病受到控制，而非殲滅。這使得執行準則的層級及其程度變得相當難以拿捏，威脅總是在預防檢測的標準放鬆之後現形。資訊安全界可以從醫藥界獲得的最後一個啟示是：要不斷地徹底執行，並保持戒心。如此才能確保企業的最佳安全。

資訊安全界可以從醫藥界獲得的最後一個啟示，是要不斷地徹底執行，並保持戒心。

作者JAY G. HEISER (jheiser@infosecuritymag.com)是英國TruSecure Corp的安全分析師。