觀點

觀念大補帖 企業治痛丹

2003 / 03 / 05
謝誼萱
觀念大補帖  企業治痛丹

既然沒有百分之百的安全,如何擬訂預防措施及加強風險管理就益形重要,而不是頭痛醫頭;腳痛醫腳。以下是我們觀察企業內部最常出現的資安問題,在問題浮現的同時,我們也提供學者專家的建議及看法,期待這帖紙上大補帖能成為企業升級的萬靈丹。
觀念有偏差 企業建置防護系統前宜三思
觀念不足、偏差是企業最大的資安盲點,老闆們通常是資安門外漢,知道資安防護的重要性但不知從何著手防護;聘請MIS及IT人員,卻不知如何管理與查核,所以造成企業內部資安觀念普遍不足,甚至產生認知偏差的情形。

企業建置資安防護系統,其實必須要有步驟和程序,資通學會理事長賴溪松教授指出,風險評估可說企業做好資安防護的第一步,接著才能訂定資安政策、進行系統及設備維護、相關人員教育訓練,最後是定期檢核。賴溪松教授認為,企業主如果能按部就班建置資安防護網,不但可以省錢省事,還可以事半功倍。然而,任何有用的安全防護系統都必須能擴大企業內部的防禦能力,成為保護企業資產及操作使用者的安全方案,有許多解 決方案必須透過採購硬體設備來完成,不過採購產品只是治標的方法;如果要根本解決問題,還是要透過教育使用者,在平時就確實的做好防護工作,養成良好的互動模式。

所謂「家賊難防」,人的因素是安全防護體系中最難以掌控。即便企業安裝完善的設備,但是如果沒有一套控管制度或標準作業流程,再精良的配備都派不上用場。近來常見離職資訊部門主管挾怨報復,讓企業損失慘重,這些現象凸顯企業內部安全控管漏洞百出。「MIS及安全部門人員只要有人離職,一定立即變更密碼以策安全。」Seednet產品部協理洪欽滿指出,Seednet在內部安全控管上從教訓中學到許多經驗,從補救資安事件到學會資安預防,Seednet不斷從經驗汲取防範之道,現在資安已成為Seednet員工工作的一部分,每個部門都有一套標準作業規範,遇到問題按表操作,儘可能把客戶及公司損失降到最低。針對資訊部門人員挾怨報復的事件層出不窮,洪欽滿不以為然表示,「離職資訊部門主管,如果做出蓄意毀損公司重要檔案資料行徑,等於在自斷後路,這輩子就玩完了! 」 「要做好資安,不單只是買一些防火牆及其他軟體硬體而已,回歸最基本的問題,是如何做好內部人員的控管及資安的管理系統。」安侯會計師事務所副總經理陳瑞祥提出專業見解。徐子文認同資安管理最大風險在人的管理,企業內管制很困難,不管政策寫得再好,無法去落實還是沒有用,落實資安政策是靠全體員工。 人的問題解決後,還有錢的問題;許多企業資安預算少之又少,甚至根本沒有預算額度,只有在發生入侵或中毒事件後,買些相關產品及設備以求心安。賴溪松教授提出資安成本的速算公式:資安成本=事故發生機率×事故發生的損失+改善政策成本;可見資安事件發生愈頻繁,企業要付出的成本就愈高。「安全一定要付出成本,但不是無限上綱,必需在合理的範圍內。」台北市政府資訊中心主任張俊鴻進一步表示,合理範圍應該在資訊預算的3%至5%左右。

相較於民間企業,政府公營機關資安預算就寬裕多了,尤其政府積極朝全面電子化邁進,公文往來、政令發布、民意反映……等都得靠電腦傳遞。相對地,花在資安設備上的費用也比較高,每年都有一定比例的預算更新或增添設備。但是政府體系中資安人才有限,有些具有決策權者並不懂資安,所以經常發現買了一堆機器,卻無法有效防範病毒或駭客入侵,只能依賴設備廠商或委外服務公司的支援。

以往一般企業在沒發生資安事件前,通常不會想到建置資安設備,不過,受到一連串重大資安事件發生的影響,企業主已漸有資安概念,但是有些還是礙於經費有限,只能睜隻眼閉隻眼。對於安全性需求度高的行業,例如金融、電信、高科技等公司,資安防護是必備的,不但有先進設備,對人的控管更是嚴格。

效益需評估 量身打造符合自家規模設備
企業主在評估建置資安設備及採購設備,一定要為自己企業量身打造,多大規模就買多少設備,投資前必須費心做效益評估,才不會買到一堆派不上用場的機器。企業要自己建置資安設備還是委外服務呢?企業主可從專家或專業人員,提出的「風險分析評估表」中清楚明白企業所面臨的威脅與所導致的相對風險衝擊,尤其是量化的金額數字,然後讓睿智的企業主或者總經理決定如何投資,不但可以從「風險分析評估表」中相對的「對策效益」欄位中讓企業了解MIS對公司與企業的貢獻與績效,而非僅是花錢單位,讓公司的每一份錢都發揮最高的投資效益。

「沒有發生事情前沒有損失額度,很難去估算需要投資多少比例的金額;但是至少投入金額要比照投保險的額度,甚至可以高一點;不同屬性公司的安全政策,會有不同投資規模,看公司對安全需求度及損失容忍度。」安全專家徐子文對合理投資額度評估下了簡單的定義。

鈺松國際業務行銷處協理林大森指出,「在選擇安全產品時,不能用價格和佔有率為最主要的考量因素,後續的教育、服務更為重要。」尤其企業主在評估採購資安設備,一定要先為自己企業量身訂作,零壹科技網路事業群行銷副理劉東洋建議中小企業以網路閘道(Gateway)、防毒、防火牆(Firewall)三合一產品為主,大企業則加上入侵偵測(IDS)四合一,機密性高行業及機關則可再加PKI等高階產品。近來廠商紛紛推出整合性或配套性產品,強調買一次就可全部解決企業資安問題,這中間業者多少有唱高調之嫌,因為資安是漸進式的不是一次就可以完全解決。

企業在評估投資效益時,還有一件不能忽視的要素,就是後續的維修與服務,用人的問題恐怕比花錢的問題還要來得謹慎。

專業性不足 技術能力與設備養護有問題
一般企業對資安定義認知有問題,員工對資訊安全內容也有很大誤解,以為資訊安全就是電腦安全,其實資安層面向很廣;釐清定義後才能訂安全策略、建置時間表、教育訓練及最重要的標準作業規範。資安專業知識的傳遞和不斷重覆相關資訊,已成為企業防護系統中不可或缺的一環。

「教育市場,刻不容緩。」CA(組合國際)大中華區市場總監尹婉智,講出許多廠商共同心聲。尹婉智表示,安全管理市場快速成長,凸顯先進科技需求性及相關資訊教育的必要性;想建立一個高可靠性且完整的資訊安全,人才的培育和知識的傳遞是勢在必行。勤業會計師事務所萬幼筠協理就指出,「有些企業用戶不但不知道要買什麼產品或服務,甚至連問題都不知道怎麼去陳述。」

Seednet在這方面的可說是訓練有術,自東科大火教訓和內部大大小小的資安事件後,Seednet相當重視安全教育課題,不論大小災害都訂有危機處理守則,員工必須嚴守規範。Seednet產品事業部協理洪欽滿指出,「 Seednet今年將導入ISO17799標準,未來會成立資安委員會,來因應變化多端的資安事件與問題,至於資安人員都是公司內部資深員工,經過層層篩選,在安全防護上有嚴密的內控機制。」Seednet資訊部協理莊士城進一步談到資安委員會的編組,將由Seednet總經理程嘉君領軍,集結工程部協理、資訊部協理、營運處代表、事業部代表、客服總部協理等為主要成員,負責資安政策的擬訂與控管,按各部門已訂定的標準作業規範來演練。  

徐子文也舉遠傳電信設企業安全委員會為例,由五大事業部派安全代表參加,負責擬訂預防(fore)措施,各部門都必需加入防範體系,凸顯遠傳重視資安及全體員工都必須建立安全觀念的理念。 「許多企業資安政策沒人可管,不但不做整體架構規劃,主管對資安更有認知不清的問題。」普華資安總經理包化富點出企業對資安專業能力欠缺的通病。

人才那裡找 內行人請不起培訓管道狹隘
安全管理有三要素,人、機制、科技。人為重點,藉機制運作,以科技協助達成安全管理政策。公司文化會牽動安全政策,所以任何規定都必須視員工反應,也要靠員工才能達成。資安受到重視後,業界都有人才不足的問題,不論供應端或是使用端都對培育專才傷透腦筋。

「雖然管理系統市場需求量大,但目前五大顧問公司中具有相關技術背景及經驗的人並不多。」就連在顧問市場頗負盛名的安候建業會計師事務所陳瑞祥副總經理,都不得不要感概人才難找!精誠網路軟體技術處長黃政杰也有同感,「MIS及IT人員對資安管理及應變能力不足,企業主陷兩難局面。」 賴溪松教授指出,國外大公司有安全處的設置,從基礎安全教育著手,有系統的把資訊傳授給員工,並且負責所有相關資安工作,整合企業資源。國內資安人才培訓只有大學才有相關科系(資訊系、資管系),許多最新資訊及相關技術都要向外國求教,國內的資訊教育體系有必要往下札根,或與民間企業合作,進行人才培養及後續教育訓練。

「歐洲大學中很多與資安有關的科系,連電腦法醫都能成為一門專門的學問!」原形研發公司陳嗣添舉國外的例子說明資安人才培育的必要性,他對國內很多企業主採取限制理論,不讓員工有在職訓練的機會,甚至限制員工汲取相關資訊,產生員工對企業沒有認同感及低成就感。陳嗣添強調企業資安管理要從人心做起,留住專業人才,才能有未來。

缺主管機關 採購得睜大眼睛謹慎選產品
賴溪松教授道破國內企業主青睞外國產品的心態,「買保障當然要選大品牌,不然萬一出狀況,後續維修理賠要找誰? 」政府機關的採購者當然也會以大廠出品為首要目標,以防出問題時責任追究和理賠問題。

資訊產業國內沒有中央主管機關,行政院國家資通會報也僅是任務性編組,加上認證制度並沒有強制性,民眾可自行採購產品,造成所謂大則恆大的情形,這個現象短期內改善的空間有限。不過,賴溪松教授也樂觀的認為,國內有關單位已注意到這個現象,相信不久就會協調出專責主管機關,未來層級若能適度提升,對資安的發展是一劑強心針。部分廠商也反映國內未設置國家級的資訊安全研究中心或機構,對接踵而來的病毒及駭客入侵,業者只能各憑本事嚴陣以待。 針對學界與業者的建言,研考會資訊處副處長何全德認為,未來將成立的國家通訊傳播委員會(NCC,將由毛治國統籌規劃,為獨立委員會不受立法院監督。)應可以解決這個問題。據了解,設立超部會的委員會來整合資訊、傳播、通訊等領域,已經醞釀八年了,如今又見曙光,當初曾參與協調會議的學者專家都樂觀其成,也期待國家通訊傳播委員會成立,可以為資訊產業增加更多後援及服務。 經濟部中央標準檢驗局負責國內資安相關產品標準制訂及認證、驗證,目前標準局已根據22項ISO或先進國家的標準,制訂屬於我們的國家標準(CNS),例如資訊安全管理系統CNS17799及CNS17800都在去年底前公布,並正進行驗證工作。多項資安產品的國家標準也完成制訂,標準局今年將持續辦理六項國家標準的制定,標準局認為一項標準制定,到認證、驗證等程序是必需結合產、官、學、研的力量才能完成,所以架構嚴密資安防護網的「標準動作」就是廠商按國家標準去做、民眾慎選有國家標準認證、驗證的產品。 投保壽險、產險有財政部的監督,保險公司必須依法行事,依合約進行理賠。反觀資安數位保單,在認證及驗證非強制性的機制下,業者推出的配套方案,是不是可以買得安心,用得放心,消費者就得要自求多福了!

服務糾紛多 業務員過度承諾無法律保障
國外大廠蜂擁來台尋求策略聯盟夥伴,國內代理商不但要靠口才推銷產品,還得比服務品質,加值性服務也就因運而生,而且市場成長更大也更快,英普達總經理劉元璋持相同看法,他認為加值性服務產品比重會逐年加重,資策會資安產業研究員王凱也認為,未來服務市場會比產品市場成長更快速。可見除了技術外,客戶還要更多的售後服務。

法令的規範未如預期,消費者保護法源薄弱,所以消費糾紛時有所聞,加上很難釐清是操作疏失還是產品本身有瑕疵,造成消費者常以花錢消災的心態收場。為加強消費者的自我保護意識,建議消費者可以先查閱相關法令,簽訂採購條約時審慎核對售後服務事項及損壞賠償事宜,萬一發生糾紛,也可以透過消基會申訴管道。

綜觀上述觀念有偏差、效益需評估、專業性不足、人才難尋找、無專責機關、服務糾紛多等都是現今資安市場面臨的大問題,我們提供專家學者及廠商的寶貴建言,期待能給廣大資安人一個正確且完整的觀念。