https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

新聞

企業組織的好朋友 顧問新角色-家庭醫師

2005 / 02 / 03
蔡興樺
企業組織的好朋友  顧問新角色-家庭醫師

資訊安全的生命週期
整個資訊安全的生命週期,依照筆者的區分,概略分為下面幾個階段:
*風險評估階段
*資訊安全政策設計階段
*執行階段
*稽核階段
*維護階段

風險評鑑階段
也有人稱為評估階段或差異性分析(Gap Analysis),重點在於瞭解組織目前資訊安全的狀態,應包括技術及管理兩種類別。好比個人去醫院做身體檢查,醫生除了藉由各種儀器的檢查外,還會詢問我們日常生活的管理方式,例如有無喝酒、抽煙或熬夜的習慣等等。風險評鑑階段最後產出的結果,可能是一份風險評鑑報告,報告內容依據組織的業務特性、組織的文化、組織風險的接受程度、所使用的科技策略等等,而有所差異。因此,一般利用弱點掃描工具所產生的弱點掃描報告,比較像是檢查報告,是尚未經過醫師解讀的原始資料,同樣的數據,對於不同組織或不同年齡的被檢查者應有不同的意義。唯有透過專業的資訊安全顧問,藉由顧問清楚地分析各項威脅或弱點,將可能對組織帶來多大的風險,才能協助組織清楚瞭解有哪些風險是必須去面對,進而適當的管理之。

設計階段
這個階段我們將風險評鑑報告的內容,轉換成資訊安全政策(包括程序、作業指導書及紀錄之統稱)。依據風險評鑑的內容,加上現有的一些管控措施及預計設計的安全作業,決定採行哪些風險管理策略(包括降低風險、規避風險、轉嫁風險及接受風險等等)。此時,顧問也會扮演如同醫師的角色,協助組織分析各種管理策略及安全作業的利弊得失,提供組織在做決策時的重要參考依據。若是最後風險評鑑的結果是可接受的,那就將設計的安全作業加進組織的安全政策,並透過下一階段落實之。

建置階段
依據設計階段所設計的資訊安全政策,建置相關的安全作業。這個階段,顧問會陪這組織瞭解建置情形,如同復健師陪著病人,確實去落實每個控制點。當然有時候,事情並不會是如此順利,因為這些管控措施都會多多少少影響到不同部門、不同工作人員原本進行的工作,勢必會招來反彈,顧問應該也是組織重要的溝通管道之一。

稽核階段
若是稽核人員能夠參與這整個資訊安全的生命週期,這時,也是稽核人員發揮的機會。稽核很清楚地瞭解管理重點,也就更清楚稽核要點了。透過獨立第三者的查核,可以去除一些盲點,協助組織改善不當的資訊安全作業。這時資訊安全的設計顧問較不適合擔任此項任務,可再委由其他顧問執行之。

維護階段
組織是持續不斷在運作的,而且時時刻刻都在變化,既使組織變化不大,環境也在變化。因此我們所設計的資訊安全政策,除了加強落實之外,也該因應組織內部或外在環境的變化,而加以適當修訂。顧問此時應瞭解組織的企業策略及目標,協助修訂(甚至重新制訂)資訊安全政策,以滿足組織的需求。

教育訓練
組織是不斷地學習,一般人員需要一些必要的資訊安全常識;技術人員需要一些技術上的教育訓練;藉由顧問對於資訊安全新知的快速取得,迅速將新知導入組織。

顧問的角色
資訊安全顧問與家庭醫師的作用是可以相互比擬的,資訊安全顧問與客戶之間的關係,其實與病人跟醫師之間的關係是有那麼一些相似之處。

沒有問題時不甚注意:
當身體出現了狀況,才會尋找醫師協助。當組織未發現有資安事件時,通常也不會覺得有資訊安全顧問的需求。

執行方式與作用雷同:
通常醫生會問診,然後透過儀器輔助,確認病因為何,進而開立處方。至於病是否會痊癒,與醫生並無重大關係,倒是病人有無充分休息?補足養分?白血球的戰鬥力為何?等等成為主因。同樣的資訊安全顧問,也是做一適當的訪談,藉由一些工具的協助,瞭解組織資訊安全現況,提出改善建議報告。組織資訊安全的程度,其實與組織是否清楚風險所在,是否確實執行相關措施等等有重大關連。

病好了再等下一次循環(把醫師置之腦後):
病好了之後,又恢復生病前的狀態,等到下次生病時,再去「看」醫生。解決中毒事件後,資訊安全顧問也就沒事了。

顧問的作用:
這是很多客戶首先要清楚的事。當然顧問如何讓您買單也是顧問的基本銷售功力,但為了預防自己的一時衝動或是因為銷售人員的三吋不爛之舌,導致無謂的浪費,瞭解所購買之服務是件重要的事。

舉一個自身的案例,原本為了溝通上的方便,所以想要買一支手機,結果到了店裡,店員以他豐富的銷售經驗告訴我,最新款的手機可以照相、傳影像、錄音等等很炫的功能,價格也不貴,才多萬把塊錢,真是犀利,佩服!佩服!我想也對,我小孩在鄉下,如果有這支手機,我就可以隨時看到我那可愛的「菜脯蛋」(註:筆者的第一個Baby)囉!於是我就這樣多花了一萬多元,原本最陽春的機型也不過幾仟元。這是我們日常發生的狀況,各位看倌,那些功能真的發揮功能了嗎?未必!因為照相的時候還是數位相機好,記憶體容量大、可自動對焦、有閃光燈等;真的可以隨時看到「菜脯蛋」嗎?錯!除非再買同樣功能的手機給我的老爸,再買一台給我太座,才可能解決問題。

因此自己本身的需求及所購買的服務是否相符合,過多或是不足我想都不是適當的,唯有透過不同方式,讓自己清楚明瞭需求所在之時,才能作最適當的決定。另外一個重點,如何辨識顧問公司所提供服務品質差異?例如弱點掃描服務,市面上多的人可以提供此類的服務,從最陽春的使用工具,執行出所謂的弱點掃描報告,交給客戶,客戶自行看著辦;到從企業的風險角度,分析出支撐組織的關鍵性業務、辨識出重要的資產、找出這些重要資產所面臨的威脅與與弱點、計算出各項重要資訊資產的風險、找出適當的風險管理策略及實施作法。這樣的服務價格有可能從數仟元至數十萬元不等。因此,顧問提供的服務內容、執行的過程及最後的產出,組織是否清楚?就是能否要求顧問提供適當服務品質的關鍵。

結論
顧問走了之後,企業用戶應該如何應對?其實,這句問句有一種解釋是這樣的,「資訊安全專案結束後,組織的資訊安全怎麼辦?」好像顧問在,則安全在;顧問一離開之後,組織就無所適從?若我們從新思考一連串的問題,或許我們會更清楚這個問句的整體內涵。一是,組織是否需要資訊安全顧問?為什麼需要?其次是,資訊安全顧問的作用何在?想要資訊安全顧問為我們提供那些服務?達到哪些效果?第三是,資訊安全顧問執行完專案後,組織如何還需要資訊安全顧問嗎? 組織內部,若將資訊安全管理視為專案來執行,一定會有專案的起點與終點,到達專案結束的那時刻,專案成員可能會有一些失落感,因為顧問的離開,就好像失去靠山一樣。因此,資訊安全的管理應該當成日常的作息一般,顧問的角色應該如同家庭醫師一般,這位醫師不會每天跟我們生活在一起,可是當我們有所疑問之時,他總是可以適當給我們一些合適的建議。

資訊安全顧問應該與家庭醫師的角色較為類似,資訊安全顧問對於客戶的組織文化、作業流程、人員都相當熟悉,若是那個環節產生了問題,顧問可以迅速進入狀況,瞭解問題後,進而提供適當的解決方案。因此,除非是更換顧問,否則顧問應該會像家庭醫師,應該會一直伴隨組織的成長,協助組織加強資訊安全的防護。

(本文作者現職為普華資安資深顧問)