企業安全危機四伏 重新檢視風險分析

資產的價值
資產如果沒有盤點，便不知曉需要被保護的資產對象在哪裡？是否有遺漏與疏忽？資產如果沒有分類與鑑價，便不清楚哪些資產的價值與重要性最高？需要特別的保護與「降低」或者「轉移」風險？便不清楚哪些資產雖有風險，但是因為價值風險不高，在資源有限狀況下，其風險可以被「接受」。這個道理如同產險一樣，價值越高的不動產其保費較高，立論簡單也合理，但在資訊安全的領域，企業卻不知要如何進行？其困難點在於：
高階主管因素：
沒有資安風險的危機意識，導致資安的資源投入（預算、組織運作、資安人才）有限，惡性循環的使得CIO/MIS 無法 “獨自”或者 “運用組織力量”完成資訊資產的盤點、分類與鑑價，進而無法提出資安的成本效益分析來善盡告知責任讓企業主充分了解資安與企業營運的重要相關性。

MIS 部門因素：
國內資安人才欠缺完善的培訓，部門內也無專業與專職的資安人才；資訊系統相關的維護廠商也非資安專業；國內資安廠商林林總總，參差不齊，如何選擇合適的資安諮詢顧問？
先天的弱點 MIS 人員因為特殊專業與需求而管理公司重要主機與資料庫，例如：研發設計圖、客戶金融信用資料、成本、報價單、採購單、公司財報與人事薪資資料等，在在凸顯企業 MIS 人員的管理問題。管理與稽核的人不懂電腦或變化迅速且深奧的資訊技術？懂電腦的不懂稽核？該如何處理？

企業 e 化與資訊化的普及率越高，任何員工透過網路都可以抵達任何地點，不像實體世界的層層保護與監視，所有網路行為不論善意或者惡意都在我們“看不到也聽不到”的網路環境上運作。該如何面對？ 這些先天的弱點都是無法避免的，問題是我們是否清楚了解我們的弱點究竟有哪些？究竟是高風險？還是低風險？究竟是破壞性的弱點？還是可補救的弱點？如果我們都不清楚自己的弱點？如何改善與降低弱點？

潛在的威脅
身為 CIO/MIS 主管，如果很清楚公司資訊系統的十大弱點，針對每一個資安弱點，是否可以提出其相對可能的潛在威脅？如果不清楚威脅所在？如何兵來將擋、水來土掩？ 發生的機率 誠如保險的保險金計算的原則，一切都是透過機率來推演，如果一個企業連接網際網路，在三年前被入侵的機率可能僅有 30% ，但是現在卻高達 100% 甚至 200%【備註：因為同時間可能被 N 個駭客入侵】；台灣每個地區可能停電、停水、地震、淹水或者線路斷線的機率都有跡可循；內部員工因為好玩或者惡意破壞竊取資訊資產的機率也有相對統計。 MIS 部門如何定期收集與更新相關威脅發生的機率？

損失的比例
每種威脅一定是透過某個先天弱點來得逞，但是當該威脅發生時，我們是否知道其所導致的損失比例？例如：企業連接某個 ISP 網際網路 T1(1.544M)數據專線，如果公司沒有數據專線備援機制，公司便 100% 無法連線，所以此威脅的損失比例便是 100%；相對的如果公司有備援線路，但是頻寬僅有 64K ，則其損失比例可以算是 (1- (64/1544) ) = 大約 95% ~ 94%；相對的如果公司有備援線路，但是頻寬為 T1 ，則其損失比例可以算是 0 % 等等以此類推。每種威脅發生時所導致的損失比例因公司資訊資產與該公司經營型態特質而異，有些根據威脅導致的復原時間長短而異，例如：停電時間長短、斷線時間長短；有些因為被破壞或者竊取的資料數量多寡而異。

風險的衝擊
某個資訊資產可能具備多個先天的弱點，每種弱點可能的潛在威脅可能僅有一個，也可能是一個弱點卻有多種威脅，所以經過前面的資產盤點分類鑑價、弱點分析、威脅判斷、發生機率的推演及每種威脅的導致損失比例的層層分析，便可以完成所謂的資訊安全管理系統中的最重要的「風險分析(Risk Analysis)」階段，同時也將有「資訊安全風險分析表格」的產出。

接受的程度
經過公司各部門共同討論與分析後，完整的企業『資訊安全風險分析表格』便可以出爐，然後再針對該表中的「每年損失(萬)」欄位進行 “遞減排序” ，歸納出資安風險衝擊的優先順序高低，在企業的經管會議中向企業主與總經理提出。因為每家企業的營運特性、規模大小與企業文化不同，所以每個企業主對於風險可以『接受的程度(每年損失金額)』也隨之差異，有些企業可以接受高達數億元的風險，有些企業則不允許有百萬以上的風險衝擊與損失。

當企業主與總經理根據『資訊安全風險分析表格』決定與裁示企業可以『接受的程度(每年損失金額)』的標尺(例如：NT 750萬)後，各部門相關主管便必須針對標尺以上的所有風險衝擊，也就是高於 NT 750 萬(也就是上表的 XX、YY、MM)的威脅風險衝擊進行『風險處理』，思考與決定如何修改管理制度 或者 規劃及建置資訊安全設備，裨助於「轉移」與「降低」風險的衝擊到 NT 750 萬的標尺以下。至於原先低於NT 750 萬的威脅風險，也就是上表的 ZZ、AA、NN等等風險威脅，由於其衝擊在企業 主或者總經理的風險「接受」程度以內，各主管便可以先行將資源放於其他急需改善之刀口處，最後再針對每一個威脅與風險的「風險處理」填入相對適當的處理方式。(如同表上的 XX、YY、MM的處理方式為「降低風險」，而ZZ、AA、NN等等的處理方式則為「接受」。) 企業主與總經理從「資訊安全風險分析表格」中清楚明白企業所面臨的威脅與所導致的相對風險衝擊，尤其是量化的金額數字，然後決定那一道標尺，不但可以從「資訊安全風險分析表格」中相對的「對策效益欄位」中讓企業了解 MIS 對公司與企業的貢獻與績效，而非僅僅是花錢單位；同時當那一道標尺決定之際，便是相對決定了爾後階段性資安預算的方向與數字，讓公司的每一份錢都發揮最高的投資效益。

改善的措施
一旦企業主與總經理決定了所能接受的風險標尺後，接下來各部門主管便須針對標尺以上的威脅風險思考相對的改善措施；有些需要額外的預算與成本，例如：增購各種資安設備、聘請資安顧問、申請資安認證、安排資安教育訓練計畫、招募資安專職人才等等；有些則需要修改公司規定、調整工作流程、規劃資安事件演練計畫、成立企業跨部門資安小組、與改善人事與管理制度。

針對「資訊安全風險分析表格」中每一個標尺以上(也就是上表的 XX、YY、MM)的威脅與風險，相對權責部門必須對各種可行對策進行判斷與分析，將相對的說明與數字填寫於『資訊安全風險分析表格』的「**」欄位中，例如：「對策說明」、「對策成本」、以及「對策效益」 欄位。原則上，「對策成本」欄位的金額數字應該小於同一列的「每年損失(萬)」方能符合成本效益原則，因為企業主或者總經理 應該不會同意花費一千萬來保護一百萬價值的資產。

至於「對策效益」欄位的內容 ＝「每年損失(萬)」欄位－「對策成本」欄位，透過此欄位數字便可以明顯看出每個對策與部門的績效。當「資訊安全風險分析表格」中所有內容填寫完畢後，再次透過經管會議的討論與決議，便可以決定每一項改善措施的預算編列與相對執行時間表，進而選擇合適的資安廠商進行資安設備的規劃、採購、安裝，以及資安會議、教育訓練、相對的緊急應變措施演練，另外可能也需要進行各種改善制度的佈達與執行，方能落實此階段的改善措施成效。

持續的驗證
企業主如何確保其成效如同預期呢？所以通常需要請資安顧問或者稽核單位進行相對的稽核與驗證，裨助於了解所投入的資源、人力與成本是否創造出企業所能接受的資安風險等級。此時可以請資安顧問協助進行「內部稽核與審查」，如有必要也可以請資安顧問聘任「外部稽核與審查單位」來進行所謂的「外審」。無論內審或者外審，其結果可能會有部分瑕疵，資安小組針對審查結果再進行必要的修正。

不斷的調整
企業組織會變化，制度會修正，網路架構與資訊化的規劃也會隨著時間與企業的營運而有持續的變化，因此企業資訊系統或者管理制度原來先天的弱點、潛在的威脅、發生的機率、損失的比例、風險的衝擊、與接受的程度與標尺都會隨之而改變，所以企業主必須有正確的觀念：欲維持企業資訊安全的等級在可以接受的範圍內，企業必須不斷的配合需要調整其「資訊安全管理系統」。

對企業的建議
1.資安顧問的聘任勢在必行：國內資安人才有限，企業資安資源不足，如何理論與實務經驗並重，可選擇專業專注而且標準、理論、實務經驗與安全評鑑相互策略聯盟的資安顧問團隊。

2.教育訓練規劃與落實：因材施教，高階主管觀念的建立，資安小組方法論的培訓、企業專職資安人才的配置。

3.資訊安全管理系統的規劃：先從小範圍的「風險分析(Risk Analysis)與風險管理(Risk Management)」開始。在資安顧問的輔導下，一邊從旁學習，一邊培植種子老師，逐步進行下一個階段的範圍界定。

4.進行定義範圍內之完整系統規劃與導入。

5.如有必要，可以考慮導入 「安全評鑑」，確保重要資訊系統的安全等級。

6.根據第一階段導入經驗與範 圍需求分析，進行大範圍的資訊安全管理系統規劃與導入。

7.如有必要，規劃與進行 BS 7799 的認證輔導與初審之規劃。

(本文作者為寬華網路資訊安全顧問Kevin@i-trust.com.tw)