觀點

資產電腦化之後就不設防了?

2008 / 09 / 08
編輯部
資產電腦化之後就不設防了?
現在任何公司、單位,對電腦依賴已無法脫離。但享用科技好處的同時,也該注意可能會帶來的災難?筆者以下的建言,提供企業高層推動資安時的參考。因涉及層面廣泛,將之分為2期刊登。

電腦裡的資產容易偷
以前的公司資產,眼睛看的到,該怎麼防護,早有許多的經驗法則。現在許多資產轉為電腦內的資料形式,一隻手機就可以存整個公司的重要資產。更糟糕的是,資料被偷了還不知道,因為,電腦內的資料被複製一份被帶走了,公司仍好端端的保有這份資料。
傳統的辦公環境有警衛或門口總機,主管房間的門禁管制、重要文件資產有專屬房間或櫃子,有權利使用的人,必須有授權同時擁有鑰匙。所有員工必須遵守公司或單位的管理規則、作業規範。公司管稍具規模的公司,還有稽核人員隨時注意作業流程的順暢或找出弊端。但是當進入電腦世界,這些基本管理措施為什麼都不見了?
資訊化程度越高的地方,電子文件產出的數量驚人,往往來不及納入管理。但是任何一份資料,它可能是公司重要的know-how 、可能是重要客戶資料、極重要報價單、董事長或總經理秘書整理出來的機密文件,只要存在網路連線的電腦裡,公司內稍具電腦常識的人就有機會打開來看。有哪些公司或單位真正落實文件機密等級分類、定義哪些單位及人員能閱讀這份文件?甚至,是否該有個記錄,登載誰看過,預防萬一出問題有檢視的機會?
傳統的資產有專屬房間儲存,有精密的鎖具防守、攝影機監看,讓一般人根本不知裡面有什麼寶貴的東西,當然不易興起壞念頭。但是,現在電腦裡的重要資產,一般人很容易接觸到,每天與價值不菲的資訊共處,實在是人性的大考驗。只要一丁點外在誘因出現,配合鍵盤操作,就可以輕鬆取得重要高價值資訊,更何況,極有可能神不知鬼不覺。這樣說,公司如果沒有較嚴密的防護機制,算不算鼓勵犯罪?

誰該來管理?

依此,根據目前流行的資訊安全管理系統的精神,任何組織應該成立一個專職的資訊安全團隊,持續關注電腦環境裡邊的一切安全與風險問題。同時,應盡速擬定一份單位內的資訊安全的基本管理制度,以恰當的在新科技運用的同時,能同時防範不必要的災難伴隨科技而來。
有哪些常見的災難?最容易的方法有:利用方便的e-mail或是辦公室族群非常愛的MSN、甚至連企業都愛的Skpe網路電話,透過這些方便的連絡通訊方式,將公司資產送出去。有些單位有了一些控制方法防制,如隨身碟、3G手機、MP3,這種比較屬於個人的專屬用品,又該如何管理?納入管理馬上怨聲載道,不納入管理則只要一次出事(常常是不知不覺),就是吃不完兜著走。
這現象就突顯出國內一個通泛的人力錯誤運用:一切資安問題都交給資訊部門或資訊人員。以上所談的問題都是管理問題,資訊部門如何強制要求其他部門配合政策、只要是與人相關的議題,都必須是管職責的人來要求、來推動。
除了防內賊,還有隨時虎視眈眈的外賊。現在的組織,所有的業務幾乎都離不開網際網路(internet),只要連網,任何組織就必須嚴謹面對全球惡意駭客的攻擊行為。以前的駭客多以炫耀自我滿足為主,現在全面轉向於盜取不法利益,像是公司機密、封鎖企業的網站服務、取得個人資料。
資訊領域有許多需要委託協力廠家提供各式不同的服務,但是這些委外作業常常為組織帶來新的風險。這些委外廠商的員工會接觸機密資訊、他們開發的系統都符合安全標準嗎?會不會因為系統不安全而引狼入室?如何開出適切的需求要求廠家,如何有效管理這些廠家的品質與進度,如何防範這些委外作業帶來的潛在災難?在在都指出,有位稱職的資訊人員或資安人員將是解決所有問題的關鍵。

何謂資訊安全?
從管理的層面來看資訊安全比較廣泛,一般從資訊流的流動來定義資訊安全。順著這個觀點來看,一般文件的管理算是資訊安全的範疇、公司或組織內同仁頭腦內裝的資訊依然得納入。簡而言之,從資訊的創造產出、資訊的傳遞、資訊的保存都算資訊安全該注意的內容。
自從資訊安全管理的議題在國內開始被倡導以來,基於企業或組織永續經營的目標之下,「災難回復」或是「營運不中斷」的規劃與管理,也開始被越來越多的企業與組織重視。他們事先依企業或組織的營運特性,模擬各種造成營運中斷的可能性,及各部門該如何因應與緊急應變。從最近10幾年來的天災人禍,我們的確看到許多公司因而結束營運,或造成廣大用戶們的巨大不變與損失。
科技的進步、人心的不古、外在環境的不可控因素太多,對於一位具前瞻性的領導人,的確該將注意力挪一些在資訊安全的相關主題上,以避免正常營運外的任何不必要的衝擊。

最高領導人該如何開始?
1. 重視並親身參與組織的安全工作,降低正常營運外的不必要衝擊!
2. 挑一位專業又擲得信賴的專責人員!
3. 將安全納入管理,提升組織的應變力,從品質文化跨入安全文化增加競爭力!

企業或組織體認到安全是一個重要的議題後,參照國際的標準作法,最有效的方式是建立一套管理制度。有了管理制度才知道該做什麼?如何做?哪些地方不理想?該如何改進?也唯有建立管理制度後,才能因應不斷變化的內外在環境,擁有持續不斷進步的體制。我們無法有效掌握外在威脅與衝擊,但是可以自我建立強健的組織來因應,無論在商機好的時候多吃到市場大餅,或是相對淘汰的時候,能靜候好時機的到來,都比別人多一份勝算。

公司或組織應該建立基本安全管理系統
安全的防線太長、問題複雜、又往往牽涉到人,對組織最好同時一勞永逸的方式,就是建立一套基本的資訊安全管理系統。有了管理系統才能將安全相關的人、事、物予以恰當的安排,也唯有一個管理系統,才能將安全管理的水準持續提升。有了一個基本管理系統,才能因應組織任何時期的需求,因時、因地制宜的調整或強化。

建立安全管理系統的成功秘訣
有了建立管理系統的想法,再來是如何做?我們可以參照一些國際標準如ISO 27001。依照該標準的精神,最重要的關鍵在於成立一個推動的專職單位(通常是任務編組),以及一位稱職的專案負責人。

建立一個專職推動小組
通常由高階主管帶領各部門代表及資訊人員共同組成。這位高階主管扮演專案管理的角色,擬定具體工作方向內容、注意執行進度及各式阻礙點,透過原組織的溝通運作,逐一解決問題漸次達成工作目標。
舉個例子,台灣大哥大當初決定參照ISO 27001導入資安管理系統,由執行副總領軍督導。該公司還做了一項國內較少嚐試的企圖,系統含蓋範圍是整個業務作業流程,也就是所有部門都需進入這套管理系統。這位副總以專案管理方式成立一個專案執行團隊,這包含兩位品質管制單位的資深人員、一位資深資訊人員。由這個小組專案輔導整個資安工作推動小組,完成所有的工作及進度控管。其中一位核心成員更負責一一聽取各部門推動上的各種哀怨心聲,由總指揮官予以一一鼓勵或具以稍作執行上的調整。

成功推動的案例分享
有幾個推動安全管理系統的心理準備值得省思,首先必須認知這是一個與企業文化相關的議題。個人採訪過許多通過驗證的公司及單位,通常一個公司本身就具有比較優質的管理文化,這個安全系統的推動往往會比較順利。
許多家受訪公司表達成功的關鍵是老闆的支持,我想這項原因淺顯易懂,但是有一位受訪者點出一個更關鍵的地方:「老闆支持還不夠,老闆更應該全程參與!因為參與了,殘知道真正問題在哪裡。」

總經理的支持與參與
曾經在關貿網的實際採訪中發現少見的例子,總經理基於重視客戶資料計畫建立一套資訊安全系統,由於了解的這項計畫將實際消耗人員時間運用,主動與業務單位協調,降低一定的業務承攬量,以讓全員能有比較充裕的時間,能兼顧日常業務運作又能配合一個新的安全管理體系之建立。
除了總經理的建置決斷力之外,他本人更全程參與整個導入過程,以身示範親力親為。結果是,不但取得證書,同時將安全管理納入常態管理體系。

挑一位稱職的資訊人員
個人走訪許多推動資訊安全成效不錯的單位,歸納出一個有趣又重要的現象:通常有一位「成功」的資訊人員。我們該如何挑選這種容易成功的人員呢?他們有一項共通的特質:「勇於任事」,通常不會關心這件事容不容易做,反而是這件事該不該做,如果該做,就花力氣溝通、爭取預算、花心思規劃克服困難執行出來。另一項特質:「優異溝通能力」,通常技術人員擅長與機密溝通、拙於人際溝通,成功的資訊人員因為具備與人溝通的能力,也比較不怕事,比較知道如何推動。對任何商業運作的單位或組織,成功資訊人員的特質更重要了「商業的sense」,因為對商業或業務運作的體會,比較不亦陷入技術的迷失,比較容易從問題核心出發,再去尋找解決方法,繼而搜尋恰當的技術來解決問題。

重視資訊應用、培養資訊人員的商業智能
資訊爆炸加上高度競爭的環境,任何組織多少都得依靠資訊設備提高經營決策效能、或是提高生產力。將資訊部門的位階提高,可能是大部分單位主管常常忽略的地方。幾年前訪過逢甲大學的校長,他將資訊提升為資訊處與教務處等單位同位階。我原本以為是為了解決溝通協調的問題,讓效率更高,校長打斷我的
假設答案,他強調提升為一個處,是為了擬訂學校的資訊政策,就像教務處擬定整個教學政策一般。
除了提昇資訊部門的位階,我們還需要有系統地培養這個重要部門的主管。我們可以參考彰銀資訊處處長的經歷,彰銀本身就有就工作輪調的體系,這位處長歷經國內分行行員、國外分行的管理職務,所以他從業務的效率出發,主動將資訊系統搬回總部,增加效能降低成本。完全從資訊系統的特性出發,營運效益為依歸。我們在銀行比較常看到資訊主管具備營業實務經驗,也因此,比較常看到資訊部門能主動規劃事實恰當的資訊系統。(下期待續)