觀點

資安趁早做 凌通的行動與遠見

2008 / 10 / 06
吳依恂
資安趁早做 凌通的行動與遠見

凌通科技經驗分享:從公司的基礎建設時,最好就將資安工作投入其中,形成制度、成為公司文化。

走進凌通科技公司大廳,一旁的展示間玲瑯滿目擺滿了會叫會跳、五彩繽紛的玩具,凌通科技資訊管理部經理周賢良,手上拿著一隻可愛的機器小狗走了進來,在訪談期間,牠還不忘在一旁熱鬧的汪汪叫,提醒我們要注意牠。「iDog」、「iFish」,甚至是「Pleo」電子小恐龍,這些紅極一時的電子寵物,內藏的IC晶片可都是由凌通所設計的唷!

IT獨立運作及管理,保有最大利益及彈性
凌通從前為凌陽科技底下的消費性IC產品線,是第一個獨立出來的子公司,其他還有如旭曜、凌陽創新、宏陽等,與其他公司較不同的是,這些子公司的資訊系統並不是由母公司統一控管,周賢良說,基於公司規範及最大利益考量下,各子公司會獨立負擔起資訊建設及管理工作,與母公司之間唯一的聯繫是在於ERP系統,並且採取使用者付費的概念,依比率分擔系統維護及開發費用,子公司間各有專線連往母公司,但彼此子公司之間並不互通,這也是母公司凌陽出於人力、競爭力及資安等各方面的考量。
但隨著子公司逐漸成長、壯大,其公司型態亦有所差異,ERP的客製化複雜度越來越高,子公司必須透過母公司才能完成某些設定,甚至是人員協調的問題,再再都使得運作時間被拉長。周賢良認為,尤其這一年來凌通的資訊需求變得更多了,為求增加系統彈性以及市場競爭力,寧可自己培植IT人力來因應快速的變動。為此,近2、3個月以來,各子公司之間也與母公司積極溝通,凌通亦期望未來能夠透過母公司的協助順利分割出ERP系統,並且透過第3方系統整合商來完成新系統的建置。
而對於IT人員的要求,周賢良期許他們能夠把自己當作行銷人員來看待,凌通也延續了母公司凌陽的利潤中心制,所以除了日常例行性的系統維護或開發工作以外,IT人員可以針對自己能力及專業主動承攬專案,當內部推行專案時,以改善作業流程或為公司節省成本為主要目標,主管再透過凌通的績效管理系統,針對各人在不同專案中的貢獻度在年中、年終作考核,當然,這都影響到調薪、紅利等,也因為這樣,IT的同仁在工作上也會有更積極的心態來為公司貢獻。

高度研發導向的組織
凌通的研發核心主要是微控制器(MCU),應用範圍如電子字典和學習機、通訊、遙控器、互動性玩具、電子寵物等,同時,凌通擁有類比電路設計、嵌入式記憶體、液晶顯示技術、數位信號處理器及系統應用整合等技術。例如凌通近來也研發了可在數位相框上,整合即時通訊(IM)軟體上的文字或圖像及聲音,像這樣的整合應用都是寶貴的專利,對凌通來說,其公司核心價值便在於其IC設計的部份,這也是為什麼凌通如此重視資訊安全的原因之一。
提起凌通的IT架構,資訊基礎架構建設以及支援的工作,主要是由資訊管理部門負責,依照功能來分,又分做系統管理與程式開發2塊,當然,也包括了資訊安全的防護工作,這更是跨系統領域的部份,由資訊部門統籌規劃並且直接向總經理匯報。凌通為一IC設計公司,不僅總經理是RD出身,整個公司的研發人員比重也高達64%,公司的組織架構可說是以RD為主。
周賢良也提供了一則園區趣聞,傳聞有某家公司的研發單位由於相當會「鑽漏洞」,因此廠商間莫不打趣道,只要產品能通過那間公司RD人員的試用,通常也就等於是獲得了品質上的肯定。
那麼既然公司以研發人力為主,那麼又該如何要求RD人員配合呢?他說,除了會提醒使用者特定資訊行為已在公司監控中,針對特定人士亦會列冊管理,不過相當有趣的是,其實這些Power user也是相當有效的「測試單位」,舉凡廠商提供何種資安產品測試,都可透過監看這些Power user的反應及動作來修正該項產品的漏洞或不足,對公司整體系統的佈建來說,反而是有益處的。

凌通科技小檔案
負責人 黃洲杰
創立時間 2004年5月
資本總額 800,000,000元
資訊部門人數
11人(含外點)
員工總人數 186人
主要業務 消費性產品的IC設計,如玩具禮品、語音IC,產品應用如通訊、遙控器、互動性玩具、電子寵物、電子字典和學習機等。

資安從初始做起 從需求面反應
甫成立4年的凌通科技,在第2年就開始著手資安工作,主要也是因為高度研發導向,其Know How是其主要關鍵,公司內部有著許多敏感資料,也有來自稽核的需求,推動資安工作似乎是共識。周賢良帶著筆者參觀豎立多排伺服器機櫃的機房,「想像不到吧?在這100多人的公司裡,平均每個3個人便要使用1台伺服器。」主要負責統籌資安的周賢良除了每天都要大量閱讀各式各樣的資訊以外,更擁有多年IT工作經驗,他認為,最好可以在公司規模尚小的時候便投入資安工作,一旦行事規矩建立,形成公司文化要後進者遵守,遠比大規模時推動更可以避免使用者抗拒。
凌通的資安預算會依照營收狀況來編列,去年IT預算為營業額的2%,而資安預算就佔了IT預算的16%。關於資安預算的爭取,周賢良說,他只是在既定的預算編制內去執行,凌通每年10月制定隔年預算,無論是編軟、硬體,其吻合度都可高達8、9成以上,事前的詳細規劃是重點,另外,由於高階主管通常沒有空去了解細節,在向上呈報的時候需要抓緊要點,在短時間內詳細說明為什麼要執行這項計畫?並且將相關解決方案也提出來讓老闆選擇,通常是3或2選1。
周賢良說,他每天可以跟老闆說話的時間可能只有10分鐘,因此需要將最複雜的事情盡量簡單化,或是提供市場上現有的方案。資安沒有完美,防毒也不可能做到百分百,他舉了個例子,當公司內有中毒的情形發生時,經過調查根源通常都來自某外部信箱的信件,於是有人建議要擋掉此一外部信箱,周賢良說,凌通主要產品為消費性IC設計,阻擋掉外部信箱顯然是不太可能的選擇,但他還是提供了3個選擇題給總經理:1.擋掉、2.擋掉但是告知對方(需要做一些設定動作)、3.不擋,在閘道端設防毒掃描(但這成本較高)。而總經理果不其然刪去了第1選項,他便就剩餘的選項再去做更詳細的規劃與準備,讓總經理可以再進行選擇。
除此之外,他認為透過事件的發生或是從需求去反應,都具有相當的效果,他舉例如企業內部網站(EIP)的推動過程便是如此,先透過私下和相關使用者閒聊,宣導使用該系統的好處等,讓使用者形成一個社群。人性都是不喜歡被管控的,但如果可以先告知對方好處,提高大眾接受度、普遍認知,那麼有時候甚至不用去提出計畫,便能水到渠成,當大家都說好的時候,推動起來自然也會順利許多,此外,當你推動的系統是大家所想要的,在老闆的心中成績自然也高。
此外,凌通的IT部門還為公司同仁提供了「AV光碟」(Anti-Virus CD),藉由收集一些免費或好用的小程式,再經過改寫變成相當便利的工具片,其想法為公司內部電腦系統要安全及乾淨外,亦希望使用者家中電腦亦有工具可供檢查及清除中毒情況,如此狀況可減少及降低當使用者家中個人電腦中毒,經和公司的電腦資訊交換,導致影響公司電腦及網路使用,此光碟除了可以緊急應付以中毒的電腦,還可以支援USB開機、備份還原或是修補壞軌等,相當受到大家的歡迎,每2個使用者就有1個索取,甚至海外同仁也相當踴躍,在此也看得出IT部門對使用者的用心經營。

為自己的資安負責
談到傳統的資安觀念,第1個倒楣的通常都是IT部門人員-「都是因為IT沒有管好,所以中毒了!」但周賢良說要慢慢轉變這樣的觀念,例如發生中毒事件,其實會有很大的部份是擁有資料的人沒有良好的習慣,明明是可疑的檔案,卻還是去開,使用者應該要負起責任,IT部門則應該提供良好的管理及還原機制,例如Client端的連續資料保護(CDP, Continuous Data Protection),中毒事件發生的時候,使用者可以選擇自己回溯系統,如此一方面也可以快速回到未中毒前狀況,另一方面也可以大大降低Help Desk人員的負荷。
談到資料的防護,主要都是做一些終端的控制,或是防制資料外洩(DLP, Data Loss Prevention)的動作,以及數位版權管理系統(DRM, Digital Rights Management),但是周賢良認為這些事情都需要很多產品組合起來,目前並沒有一套完整的解決方案,凌通未來想要能夠做到能與目錄服務(AD, Active Directory)完全整合的資料保護,包含身份的識別,能夠制定什麼樣的權限,可被受理的功能,甚至是做存取異動的管理,一旦有異常存取便要能通知系統管理員或主管等,但目前由於相關產品上有作業平台上的限制,凌通也要求廠商進行開發以符合需求。
除此之外,在組織規模和人力資源有所限制的狀況之下,在政策面凌通也有一些資訊管理辦法,主要是參考如ISO27001等資安驗證服務標準,來做為制定策略或是稽核的標準。針對內部控制的稽核可分做內、外2個部份,除了每半年來自資訊部門以及董事長室的稽核,還有來自外部會計師事務所的稽核,周賢良笑著說,「你也知道他們很專業的,第1年被稽核的時候是蠻痛苦,第2年就好很多,今年若再來稽核,相信缺點應該是很少了…」由他自信的態度,我們也可知見凌通在內部控制著實下了不少功夫。 

凌通科技經驗分享:
1. IT人員把IT人員當作行銷人員來看待,除了例行性的系統維護工作或開發以外,IT人員可以針對自己能力及專業主動承攬專案,主管透過績效管理系統,針對各人在不同專案中的貢獻度在年中、年終作考核,IT的同仁在工作上也會有更積極的心態來為公司貢獻。
2. 最好可以在公司規模尚小的時候便投入資安工作,一旦行事規矩建立,形成公司文化要後進者遵守,遠比大規模時推動更可以避免使用者抗拒。
3. 高階主管通常沒有空去了解細節,因此需要將最複雜的事情盡量簡單化,並且將相關解決方案也提出來讓老闆選擇,通常是3或2選1。
4. 透過事件的發生或是從需求去反應,都具有相當的效果,先透過私下和相關使用者閒聊,宣導使用該系統的好處等,讓使用者形成一個社群。
5. 發生資安事件,會有很大的部份是擁有資料的人沒有良好的習慣,明明是可疑的檔案,卻還是去開,使用者應該要負起責任,IT部門則應該提供良好的管理及還原機制。