資產電腦化之後就不設防了？

現在任何公司、單位，對電腦依賴已無法脫離。但享用科技好處的同時，也該注意可能會帶來的災難？筆者以下的建言，提供企業高層推動資安時的參考。因涉及層面廣泛，將之分為2期刊登。

電腦裡的資產容易偷
以前的公司資產，眼睛看的到，該怎麼防護，早有許多的經驗法則。現在許多資產轉為電腦內的資料形式，一隻手機就可以存整個公司的重要資產。更糟糕的是，資料被偷了還不知道，因為，電腦內的資料被複製一份被帶走了，公司仍好端端的保有這份資料。
傳統的辦公環境有警衛或門口總機，主管房間的門禁管制、重要文件資產有專屬房間或櫃子，有權利使用的人，必須有授權同時擁有鑰匙。所有員工必須遵守公司或單位的管理規則、作業規範。公司管稍具規模的公司，還有稽核人員隨時注意作業流程的順暢或找出弊端。但是當進入電腦世界，這些基本管理措施為什麼都不見了？
資訊化程度越高的地方，電子文件產出的數量驚人，往往來不及納入管理。但是任何一份資料，它可能是公司重要的know-how 、可能是重要客戶資料、極重要報價單、董事長或總經理秘書整理出來的機密文件，只要存在網路連線的電腦裡，公司內稍具電腦常識的人就有機會打開來看。有哪些公司或單位真正落實文件機密等級分類、定義哪些單位及人員能閱讀這份文件？甚至，是否該有個記錄，登載誰看過，預防萬一出問題有檢視的機會？
傳統的資產有專屬房間儲存，有精密的鎖具防守、攝影機監看，讓一般人根本不知裡面有什麼寶貴的東西，當然不易興起壞念頭。但是，現在電腦裡的重要資產，一般人很容易接觸到，每天與價值不菲的資訊共處，實在是人性的大考驗。只要一丁點外在誘因出現，配合鍵盤操作，就可以輕鬆取得重要高價值資訊，更何況，極有可能神不知鬼不覺。這樣說，公司如果沒有較嚴密的防護機制，算不算鼓勵犯罪？

誰該來管理？
依此，根據目前流行的資訊安全管理系統的精神，任何組織應該成立一個專職的資訊安全團隊，持續關注電腦環境裡邊的一切安全與風險問題。同時，應盡速擬定一份單位內的資訊安全的基本管理制度，以恰當的在新科技運用的同時，能同時防範不必要的災難伴隨科技而來。
有哪些常見的災難？最容易的方法有：利用方便的e-mail或是辦公室族群非常愛的MSN、甚至連企業都愛的Skpe網路電話，透過這些方便的連絡通訊方式，將公司資產送出去。有些單位有了一些控制方法防制，如隨身碟、3G手機、MP3，這種比較屬於個人的專屬用品，又該如何管理？納入管理馬上怨聲載道，不納入管理則只要一次出事（常常是不知不覺），就是吃不完兜著走。
這現象就突顯出國內一個通泛的人力錯誤運用：一切資安問題都交給資訊部門或資訊人員。以上所談的問題都是管理問題，資訊部門如何強制要求其他部門配合政策、只要是與人相關的議題，都必須是管職責的人來要求、來推動。
除了防內賊，還有隨時虎視眈眈的外賊。現在的組織，所有的業務幾乎都離不開網際網路（internet），只要連網，任何組織就必須嚴謹面對全球惡意駭客的攻擊行為。以前的駭客多以炫耀自我滿足為主，現在全面轉向於盜取不法利益，像是公司機密、封鎖企業的網站服務、取得個人資料。
資訊領域有許多需要委託協力廠家提供各式不同的服務，但是這些委外作業常常為組織帶來新的風險。這些委外廠商的員工會接觸機密資訊、他們開發的系統都符合安全標準嗎？會不會因為系統不安全而引狼入室？如何開出適切的需求要求廠家，如何有效管理這些廠家的品質與進度，如何防範這些委外作業帶來的潛在災難？在在都指出，有位稱職的資訊人員或資安人員將是解決所有問題的關鍵。

何謂資訊安全？
從管理的層面來看資訊安全比較廣泛，一般從資訊流的流動來定義資訊安全。順著這個觀點來看，一般文件的管理算是資訊安全的範疇、公司或組織內同仁頭腦內裝的資訊依然得納入。簡而言之，從資訊的創造產出、資訊的傳遞、資訊的保存都算資訊安全該注意的內容。
自從資訊安全管理的議題在國內開始被倡導以來，基於企業或組織永續經營的目標之下，「災難回復」或是「營運不中斷」的規劃與管理，也開始被越來越多的企業與組織重視。他們事先依企業或組織的營運特性，模擬各種造成營運中斷的可能性，及各部門該如何因應與緊急應變。從最近10幾年來的天災人禍，我們的確看到許多公司因而結束營運，或造成廣大用戶們的巨大不變與損失。
科技的進步、人心的不古、外在環境的不可控因素太多，對於一位具前瞻性的領導人，的確該將注意力挪一些在資訊安全的相關主題上，以避免正常營運外的任何不必要的衝擊。

最高領導人該如何開始？
1. 重視並親身參與組織的安全工作，降低正常營運外的不必要衝擊！
2. 挑一位專業又擲得信賴的專責人員！
3. 將安全納入管理，提升組織的應變力，從品質文化跨入安全文化增加競爭力！

企業或組織體認到安全是一個重要的議題後，參照國際的標準作法，最有效的方式是建立一套管理制度。有了管理制度才知道該做什麼？如何做？哪些地方不理想？該如何改進？也唯有建立管理制度後，才能因應不斷變化的內外在環境，擁有持續不斷進步的體制。我們無法有效掌握外在威脅與衝擊，但是可以自我建立強健的組織來因應，無論在商機好的時候多吃到市場大餅，或是相對淘汰的時候，能靜候好時機的到來，都比別人多一份勝算。

公司或組織應該建立基本安全管理系統
安全的防線太長、問題複雜、又往往牽涉到人，對組織最好同時一勞永逸的方式，就是建立一套基本的資訊安全管理系統。有了管理系統才能將安全相關的人、事、物予以恰當的安排，也唯有一個管理系統，才能將安全管理的水準持續提升。有了一個基本管理系統，才能因應組織任何時期的需求，因時、因地制宜的調整或強化。

建立安全管理系統的成功秘訣
有了建立管理系統的想法，再來是如何做？我們可以參照一些國際標準如ISO 27001。依照該標準的精神，最重要的關鍵在於成立一個推動的專職單位（通常是任務編組），以及一位稱職的專案負責人。

建立一個專職推動小組
通常由高階主管帶領各部門代表及資訊人員共同組成。這位高階主管扮演專案管理的角色，擬定具體工作方向內容、注意執行進度及各式阻礙點，透過原組織的溝通運作，逐一解決問題漸次達成工作目標。
舉個例子，台灣大哥大當初決定參照ISO 27001導入資安管理系統，由執行副總領軍督導。該公司還做了一項國內較少嚐試的企圖，系統含蓋範圍是整個業務作業流程，也就是所有部門都需進入這套管理系統。這位副總以專案管理方式成立一個專案執行團隊，這包含兩位品質管制單位的資深人員、一位資深資訊人員。由這個小組專案輔導整個資安工作推動小組，完成所有的工作及進度控管。其中一位核心成員更負責一一聽取各部門推動上的各種哀怨心聲，由總指揮官予以一一鼓勵或具以稍作執行上的調整。

成功推動的案例分享
有幾個推動安全管理系統的心理準備值得省思，首先必須認知這是一個與企業文化相關的議題。個人採訪過許多通過驗證的公司及單位，通常一個公司本身就具有比較優質的管理文化，這個安全系統的推動往往會比較順利。
許多家受訪公司表達成功的關鍵是老闆的支持，我想這項原因淺顯易懂，但是有一位受訪者點出一個更關鍵的地方：「老闆支持還不夠，老闆更應該全程參與！因為參與了，殘知道真正問題在哪裡。」

總經理的支持與參與
曾經在關貿網的實際採訪中發現少見的例子，總經理基於重視客戶資料計畫建立一套資訊安全系統，由於了解的這項計畫將實際消耗人員時間運用，主動與業務單位協調，降低一定的業務承攬量，以讓全員能有比較充裕的時間，能兼顧日常業務運作又能配合一個新的安全管理體系之建立。
除了總經理的建置決斷力之外，他本人更全程參與整個導入過程，以身示範親力親為。結果是，不但取得證書，同時將安全管理納入常態管理體系。

挑一位稱職的資訊人員
個人走訪許多推動資訊安全成效不錯的單位，歸納出一個有趣又重要的現象：通常有一位「成功」的資訊人員。我們該如何挑選這種容易成功的人員呢？他們有一項共通的特質：「勇於任事」，通常不會關心這件事容不容易做，反而是這件事該不該做，如果該做，就花力氣溝通、爭取預算、花心思規劃克服困難執行出來。另一項特質：「優異溝通能力」，通常技術人員擅長與機密溝通、拙於人際溝通，成功的資訊人員因為具備與人溝通的能力，也比較不怕事，比較知道如何推動。對任何商業運作的單位或組織，成功資訊人員的特質更重要了「商業的sense」，因為對商業或業務運作的體會，比較不亦陷入技術的迷失，比較容易從問題核心出發，再去尋找解決方法，繼而搜尋恰當的技術來解決問題。

重視資訊應用、培養資訊人員的商業智能
資訊爆炸加上高度競爭的環境，任何組織多少都得依靠資訊設備提高經營決策效能、或是提高生產力。將資訊部門的位階提高，可能是大部分單位主管常常忽略的地方。幾年前訪過逢甲大學的校長，他將資訊提升為資訊處與教務處等單位同位階。我原本以為是為了解決溝通協調的問題，讓效率更高，校長打斷我的
假設答案，他強調提升為一個處，是為了擬訂學校的資訊政策，就像教務處擬定整個教學政策一般。
除了提昇資訊部門的位階，我們還需要有系統地培養這個重要部門的主管。我們可以參考彰銀資訊處處長的經歷，彰銀本身就有就工作輪調的體系，這位處長歷經國內分行行員、國外分行的管理職務，所以他從業務的效率出發，主動將資訊系統搬回總部，增加效能降低成本。完全從資訊系統的特性出發，營運效益為依歸。我們在銀行比較常看到資訊主管具備營業實務經驗，也因此，比較常看到資訊部門能主動規劃事實恰當的資訊系統。(下期待續)