從企業經營團隊看資安戰略「高」度

一般討論企業資訊安全管理，大多從解決方案的縱深防禦、管理準則的廣度、面向等角度來談，然而要在組織實務環境中成功推動資安，許多環節必須關注，其中最重要的莫過於拉抬資訊安全的戰略高度。

企業資安工作繁雜，涵蓋管理流程、產品技術以及人員訓練等面向，如此才能確保資安三要素People、Process、Technology面面俱到。然而要成功推動這些工作，最重要的是取得高階主管的支持，這也是《資安人》過去所採訪的案例分享單元中，所有資安工作者共同推認的要務。然而知易行難，許多人談到資安工作只落得沒人、沒錢、沒辦法的三聲無奈。對此，台灣積體電路Corporate Security處長梁立凡認為，資安人員只要能證明出這個資安專案是對公司有價值的，有了CEO的支持，人力、預算都不會是問題。

資源來自於價值的呈現
放眼望去全公司上下，真正重視資安的不是基層員工，也不是中階主管，而是高階主管，因此資安人員需要從企業經營者的角度來檢視所有資安工作，先談CEO真正有興趣的、會擔心的議題，提出對的事，並且證明此事對公司的價值，資安工作才容易獲得支持。
想證明資安對公司的價值，先從了解公司最想保護的是什麼開始。資安人員不妨跟公司高層直接進行訪談，就算訪談之後會從不同主管身上得到不同答案，也許是領先技術或者客戶資料。接著把這些意見整合並決定優先順序，然後選擇最優先者對企業高層談論此資安專案的價值。
要能成功詮釋資安價值，資安人員必須站在企業經營者的角度設想。梁立凡提出「風箏理論」，唯有起風的時候風箏才能輕鬆放的高又遠，也就是要掌握時機、趁勢而為。資安人員可以利用發生於公司內／外的資安事件，以高階主管容易理解的商業語言表達此事對公司的啟示，甚至可能的衝擊。例如製造業一向併購頻繁，而企業併購之後難免引發員工離職潮，過去某3C電子大廠曾發生過整個研發團隊帶槍投靠敵方陣營的慘痛例子，離職人員帶走的機密資料對企業影響甚大，CEO對此類事件最為敏感，資安人員正好可利用這樣的例子對上層談機密資料的分類與定義，若是企業機密資料從未被討論定義，發生上述外洩事件，受害企業甚至無法提出告訴。
除了利用事件將高階主管「拉」進來關注資安之外，也應該以正面訴求將資安價值「推」向CEO。對他們談論擁有相關安全認證對企業營運的幫助。例如，取得美國海關所頒發的C-TPAT證書並成為會員之後，一旦遇上發生重大事件的非常時期，輸美貨運仍可得到順利通關處理；此外，許多國際知名IT大廠會要求合作夥伴證明能保護其研發資料，因此把握客戶前來稽核的機會，也是促銷資安工作的好時機。但不論採用何種方式，要呈現資安價值，很重要的是資安人員一定要走出機房、走出資訊部，多與其他部門互動，甚至參加研發、業務部門的會議，實際了解使用者目前正在從事的工作項目有什麼與資安相關，才能掌握這些機會，強化資安工作與企業營運的關聯，並提高資安的價值。透過外部顧問也是不錯的資訊搜集管道。
此外，在與高階主管談論資安專案時，資安人員必須能夠從對企業營運的影響來引導出此項資安專案為何該做，並且舉企業實際的例子加以分析，做與不做的差別。

獲得中高階支持 先深入掌握作業需求
經過上述「推」「拉」並用之下，儘管得到CEO的尚方寶劍，但來到各業務單位副總層級，要爭取他們的支持以順利在該單位內推展資安，有時並不容易。筆者耳聞許多企業資安人員感嘆資安工作窒礙難行，往往都是這些在公司裡掌握執行資源的高階主管表面上順應CEO的指示，支持資安工作，但實際上卻採取消極態度，對屬下違規行為視若無睹。
對中高階主管而言，推動資安需要清楚定義出其對資安工作的責任(accountability)，並且明白表示將來若哪個業務單位出了事就是該單位主管負責。然而儘管劃分出責任範圍，梁立凡認為，要讓企業資深的高階管理階層真正接受且重視資安，需要展現的是你確實了解他們實際作業上的需求，而不是單方面的要求配合，而這往往需要花費一番心力。尤其業務單位各有不同文化，在研發部門或工廠也有所不同，都需要深入了解並明白他們最在意的事，接著用他們的語言來傳達資安，才會使他們感同身受，這時資安人員的建議便容易被採納。
梁立凡指出，要了解業務單位的需求不是單靠一通電話。他曾經為了得到一位高層副總的支持，花費3個月的時間訪談該單位上下各階層主管，以及與該單位有密切業務往來的其他部門甚至包括外部廠商，以徹底了解該單位目前的作業流程，進而能分析各流程有何不足之處及可能的資安風險，再提出資安建議以及具體可行的中長期措施，經過這番努力之後，終於獲得那位副總支持，規定該單位散佈全球各據點所有同仁必須接受1小時為其特別設計的資安認知課程，而其他資安工作也得以推展下去。
資安的推導是經年累月不是一蹴可幾，梁立凡坦言，一開始一定會遇到表面支持實際不支持的問題，大概需經歷3至5年，才有可能真正在人員心中建立起根深蒂固的資安觀念與文化。而這當中更需要CEO的大力支持，資安人員不能讓CEO只是一時心血來潮重視資安，之後又轉而重視其他專案，因此需要不斷地溝通使資安在其心中佔據重要位置。

贏得同仁mindshare 先建立與個人的關聯
至於要對為數眾多的基層員工傳達資安的重要性，光是告訴他們不做資安會使公司喪失多少競爭力是沒有效果的。尤其對講求創新，不喜歡受拘束的研發部門人員來說，一味談論資安規範勢必無法與RD人員產生交集，必須舉實例讓他們感同身受，創造資安工作與個人的關連性，才能得到普遍關注。例如RD人員所致力開發的某項獨占技術若資料不慎外洩到競爭對手手中，使得研發領先時間由1年縮短至6個月，連帶影響公司享有價格優勢的時間，即可推算出對公司整體營收的損失，並且進而換算出同仁最關注的年底員工分紅將縮水多少百分比。梁立凡笑說，對台積電同仁而言，PIP不只代表“Proprietary Information Protection”還有“Protecting Individual Pocket”的意味！
總之，建立了資安工作與個人的關連性，再加上透過計算公式的表達，對講究科學數據的RD人員來說易於接受，也就能贏得同仁的mindshare！

資安績效難衡量 塑造安全文化是關鍵
資安工作需要定期進行檢討與審視，然而從事資安向來不容易看見具體成效，因此如何訂定資安關鍵績效指標(KPI)成為眾家資安人員的煩惱。梁立凡表示，訂定KPI固然必要，但推行資安最重要的是能夠在企業中塑造出安全的文化，而台積電透過每年底的資安成熟度評鑑，協助各單位逐年提升資安成熟度，以建立安全文化。
因此KPI數字的高低不應是資安績效的全貌。他建議，可以透過Process KPI與Business result KPI雙管齊下，來檢視部份資安工作的成果。Process KPI一般會運用較多，例如檢視資安線上學習的教育訓練是否被執行，以及該流程是否正確，或檢查使用者是否違規攜帶照像手機，然而數字不代表全貌，因為如果檢查尺度稍嚴格些，執行成果數字就會提升。然而若討論到該流程是否有效果，則必須輔以Business result KPI來檢視，Business result KPI顧名思義需將資安執行結果與企業營運情形作連結，例如實際發生的資安事件對企業營運所造成的影響，然而實務上這麼做往往很難完全客觀公平。梁立凡建議，訂定KPI指標項目需謹慎，不對的KPI引導資安錯誤的方向，不如不要訂。
此外，資安工作推行到最後也難免遇上資安與生產力孰輕孰重的兩難問題，這時企業需要了解CEO對於此一問題的看法並且在高層中形成共識，據以訂定出大原則，將來落到執行面，資安人員便可以藉此原則處理大部分問題。其餘若是有爭議的特殊案例，則上呈到副總拍案定決或在高層會議中討論。梁立凡認為一線的資安管理人員，有時遇到此類兩難問題，還是要有承擔責任的膽量，就算做錯決定只要能從中學習，也能累積經驗。
從擔任事業單位負責人、供應鏈管理顧問到現今帶領Corporate Security團隊，對經驗豐富如梁立凡來說，從事資安管理工作也持續面臨著不同的挑戰。現今高科技製造業的上下游，客戶與代工業者之間有著緊密而微妙的合作夥伴關係，但如何一方面提升友好合作關係另方面又兼顧資訊安全，也是另一個兩難。資安人員必須如何更深入業務層面清楚地畫下那把尺，則是接下來要面臨的挑戰。