第一條、忘記你的職稱和組織圖 
不要深陷於組織圖之層級、頭銜和該跟誰報告的無窮迴圈裡。這些對安全而言,一點都不重要。雖然每個企業的安全架構與佈局逕異,但是不管給你多大的頭銜與權責範圍,都不會因此增加處理安全問題的能力。
資安長通常在剛開始接任時,都沒有太多的資源和能力去完成相關規劃的實踐,尤其是在大型組織中這種情況更為顯著。當我接下資安長一職,我曾一度天真的認為資安長的工作就是作長期的安全政策與策略規劃,指導全公司的資安政策落實執行。後來我才發現,資安長的工作不必背上公司財務上的責任,但是也與真正安全策略的執行面脫勾,因此這個頭銜在實質上沒有太大的意義。
果真如此嗎?在幾經挫折後,企業組織圖上面可能會冒出幾個各司其職的資安管理職缺,在企業安全上扮演不同的角色。所以,你必須要整合這些資安負責人的觀點,不管是安全政策、實行、一般事業維運作業或持續改善的要求,每當扣著風險管理的大帽子,大家的意見也就特別多。因此,你必須跟這個團隊建立起強固的合作關係,增進彼此間的信任,以利於推行的的安全觀點和願景。不要孤芳自賞,盡說些官大學問大的論調,你要知道,資安能做的成功,要仰賴整個團隊專業能力的運作才成。
第二條 、針對落實資安政策進行協商許多大型企業中的事業部門,都可以媲美財星五百大企業。無庸置疑地,這些事業單位都相信他們獨特且傲人的安全與風險模組才是最好的,但是這對資安長而言是個壞消息,在每個單位都有他們的一套資安論調,不論是推行資安政策或者建構基礎資安支援環境,就無法做到人人滿意的地步。
不同的事業單位其作業上的需求、作業技術平台規格可能都是非常獨特的,因此全企業的各式資安需求更不容易同調。因此,要推一套放諸四海皆準的資安政策,是不大可能的,你會發現,常常在不同的平台或系統上,你會一直重複著之前在其他平台就已經做過的事情。
然而,資安需求總是會收斂在一個共同的交集上,例如:安裝防毒軟體與定期更新病毒碼這檔事,就不會有太大的爭議。將這些共識,明文規定於組織規章中,並且要訂下服務水準協議來持續維持、改善這些規定的落實。抓住各事業單位的頭兒,說清楚你在何時以及如何讓你的安全小組完成他們的任務,以期在影響各部門業務的最小程度下,落實各項資安政策。
第三條 、訂下風險管理的底線 資安經理在說『NO』上,已經是出了名的惡名昭彰。不增加新的服務項目、不開放額外線路,任何有害於企業暴露在風險下的事情都『不行』。
但是一位成功的資安長,就會找出說『YES』的方法。當然首要條件就是要將風險消弭到最小。你必須先設定企業營運的風險容忍度,運用可靠的風險估算數據,決定在什麼程度下是可以接受的風險?以整體風險最小化為目標。
因此,資安長必須洞悉整個企業營運所存在的風險,了解各種營運活動所產生的風險為何?在可接受的最小風險程度下,適度的說『YES』,建立安全部門與其他事業單位的互信和合作關係。
搞資安的人,常常會從0或1的角度來看這個世界,所看到的非黑即白,所以公司的員工也必須選擇遵守資安政策或放棄使用某些資源。但是,風險管理是一種權衡風險的藝術,設定一個可接受的風險值,拋開非黑即白的成見,你會發現資安政策的落實推行會變的更容易。
第四條 、評估與驗證安全目標 要推行資安政策,必須要具備有效的評估和驗證手段,才能徹底落實。該從何做起呢?建議你儘量蒐集各種數據,只要是可以量化、可以評估項目均可,但要先搞清楚這些資料的意義為何?以及數據高低跟資安政策所訂定的安全目標有何關連存在?
績效評估矩陣可以展示出不同績效指標間的績效差異,例如:是否達到年初預定的工作目標?工作成效是否有任何形式的改善?是否在合理的預算與時間內完成既定目標。
而政策遵循評估矩陣則可以看出政策的推行效力,例如:多少員工通過該政策相關的宣導教育訓練之測驗?在承接委外案件時,廠商的篩選條件與數量是否符合既定政策?
風險危害評估矩陣可以作為企業安全等級的衡量工具。在企業內存在多少顯而易見的弱點?當你把這些弱點都湊在一起,並且依照危害程度訂出高低次序時,你要如何從過時的資料中,找出哪些項目是企業未來真正會遭受的危害呢?下面有兩個技巧,可以幫你釐清評估數據的迷思。
第一、評估最後結果與成效,而非過程。就像不管網路防火牆記錄了多少攻擊事件,網路安全風險評估矩陣要能夠清楚地呈現企業目前的網路安全等級和風險程度,才能發揮效用。如果你發現某些評估矩陣沒有明確地關連到任何資安政策目標,且無法從中說出什麼跟企業風險有關,然後又可以讓老闆信服的故事,那就不要再研究它。
第二、燈不點不亮,有用的資料如果你不懂的去焠煉運用那就是垃圾。評估矩陣的用處就是讓你評估今天的績效,找出任何可以改善的地方,增進未來營運的成效。從中你可以了解到,哪些地方可以補強,以及最大的瓶頸在哪裡?
第五條 、 錢要花在刀口上 資安界最常聽到的就是『沒有足夠的預算』這一類的抱怨。但是這故事背後卻有鮮為人知的辛酸。不諱言,部分企業的資安投資,只是從IT預算中所切割出一小塊餅,但是卻必須承擔與IT活動在同樣預算支出下,要達到同等水準的投資報酬率,因此錢必須要花在刀口上,最好還要能夠刀刀見血。預算不會無緣無故就從天上掉下來,要仔細安排預算的優先用途,然後戰戰兢兢地花錢。
一些資安常見基本需求,和不可或缺需求,就必須列入優先採購項目。人們總是會從他們認為重要地方去砸錢,就像電力和空調雖然不是具營收的投資,但是你就是不能少了它。從這個論調發聲準沒錯,然後你必須從評估矩陣中找出安全預算和投資報酬率間巧妙的關連,讓你和你的老闆聽到錢砸下去的聲音。
長字輩的高級主管(C-suite),總是會有許多異想天開的新想法,資安負責人就必須朝著這個指導方針來做,遍尋各種便宜又大碗的解決方案。當你要主導這一類議題的專案,建議從評估矩陣來下手,針對資安建設必要的需求項目,盡量壓低其預算比較能夠順利通過長字輩的慧眼,也能夠準確地反應實際需求。
第六條 、循序漸進 雖然說這是個金錢萬能的年代,對資安而言,有些事情就不是花錢就可以做到的。要達到一些長期性的目標,最好可以將工作項目切割到可以控管的大小,可以使你更輕易地、更快速地獲得長官所樂見的成效,展現資安工作推行的價值。 從風險管理的觀點來看,所有的資安建設都是可以區分出優先等級,而這些目標必須仰賴其他潛在的資安投資和風險控管才得以達成。因此,如果某個項目在各種風險評估中均佔有很高的等級,不要遲疑立即採取行動。反之,就可以緩辦。此外,還要注意資安建設所具備的各種特質,如:後勤支援、成本考量及影響度等。要擬好一份可行的計畫,維持日常資安體制的運作,並且朝既定目標循序漸進。
要達到長期性目標,最好可以將工作項目切割到可以控管的大小,可以使你更輕易地、更快速地獲得長官所樂見的成效,展現資安工作推行的價值。
第七條 、維繫合作關係 無論你在公司的地位或頭銜有多高,總是會有許多優先等級更高的案子排在資安專案之前。資安長必須發揮影響力遊說高層,讓他們對資安更加關注,藉此獲得更多專案機會、資源以達成目標。
隨著企業管理層面逐漸重視資安投資,許多企業主也體認到資安是企業風險控管中重要的一環,同時也賦予資安長必須根據企業體質來權衡企業風險規避的決策權。因此,使得作業層面的風險控管活動如同信貸風險評估與市場風險一般更趨成熟。資安與企業營運風險控管是密不可分的,資安長可以選擇搭作業風險控管的順風車,推行資安活動,抑或孤芳自賞地被排除在企業重大營運目標之外。 更進一步地說,這就要依賴平時所建立起的同儕間合作關係,因為資安維運的策略性目標,經常是要依賴其他事業體的配合才得以達成。讓這些關鍵人物多參與實際上安全議題的決策過程,維繫與建立合作關係,你不會再是孤立無援的,反之還可以獲得其他人寶貴的建議。
第八條 、檢討再檢討 資安最惱人的部分就是後續的維運,系統不是花錢把它生出來就成了,你還要細心的照顧它。除了推展新的資安業務之外,資安長無可避免地要維運全面性的資安活動,包括之前建設的專案與系統,以確保符合全企業的正常營運目標。光是有十幾套矯正方案與應變劇本是不夠的,最重要的是你要去了解、測試、驗證過這些可能只是紙上談兵的劇本,確定哪幾套是有用且可行的。
在準備大刀闊斧推動長期的大型專案時,你最好想想,現在的環境和措施,是否如你所了解的足以支持此專案的推動。一定要檢討再檢討,例如:建構全企業的防毒保護網,是單純只買來技術面的東西,還是也同時將管理制度移轉到企業裡?發生病毒入侵時應變程序和尋求廠商支援的管道是什麼?防毒軟體的保護是否涵蓋整個企業,足以讓你可以知道任何一個角落的電腦目前的健康狀態嗎?要知道,百分之九十五就是不夠完美,表示還有再檢討的空間。
第九條 、法規與標準不可少 資安長必須清楚了解目前資安相關的法規與影響,如沙氏法案(SOX)對企業的資安營運有何影響。
營運核心最關注的就是法規與企業營運是否符合規章的議題,不過自從這些資安法條明令公告以來,企業界普遍存在一些無知的謬論,甚至不了解這些法規對於企業資安營運所扮演的角色為何?市面上所推出沙氏法案相關的配套產品有一籮筐,但是真正能夠完整涵蓋的有多少?比方說,沙氏法案要求企業的CEO與CFO必須要能驗證與控管企業內部資料的真實性和完整性,也必須提出管理控制的方法,但是這一籮筐的產品似乎沒有一家做到這一點。而第三方的獨立稽核員,可能就會問你在簽署任何財務文件聲明時,是否有任何特殊的安全控管機制?像這樣對法規一知半解的情況也發生在 GLB (Gramm-Leach-Bliley)和HIPAA等法規上。
因此,建議各位資安長好好研讀這些法規,想個聰明點、有用的配套措施。至少在跟董事會開會,預先沙盤推演如何搞定稽核員之前,就要準備好一套量身訂作的因應計畫。
第十條 、協助稽核部門找出問題 傳統上對於資安長的職務定位,不外乎制訂企業資安發展策略、指導資安部門推行與完成目標。基本上只說對了一半,資安長還要能夠脫掉西裝外套,親自參與身體力行。
一個有效率的資安長,不會只是坐在辦公桌前吹鬍子乾瞪眼。應該要捲起袖子,跳到第一線去督軍,親自完成一些專案,或者去抽查目前網路設備盤點的數量。如果要指導危機應變團隊與作業小組,最好的方法就是從攻擊者的角度,提出一些問題來挑戰他們,這就是資安長的責任。親自參與實際工作可以增進與部屬間的接觸,建立信任關係,更能藉此宣揚資安長對於安全維運的決心。
第十二條 、放寬眼界成功推行資安的四大要件:政策、程序、人員和產品。看待資安的視野要夠寬闊,首先必須確定政策聲明是否夠清楚,然後建立一套強而有力的作業程序,確保人員都能夠了解其扮演的角色與責任義務,還要給予正確有效的工具,也就是產品,依循作業程序符合政策以達成既定目標。就目前而言,產品並不是解決問題的萬靈丹,而尋求有效作業程序與實際運作狀況才是達成目標的保證。
ANISH BHIMANI 是摩根大通(JPMorganChase)IT風險管理部副總裁。曾於1996年出版Internet Security for Businessv (John Wiley & Sons)一書。若有任何建議可寫信至iseditor@asmag.com