延續《資安人》56期,本篇將繼續針對安全由誰負責、法規、委外及災害應變等議題,提供企業高層提升其資安觀念。
電腦不會犯罪、人才會犯罪,安全問題應該由管人的部門負責
傳統有關資訊安全的工作直覺就該歸屬資訊部門,其實,資訊部門除了對技術較熟悉之外,對資安工作的推動其實是無力的。資安問題都是人與管理問題,最佳的組織方式是:指定專職資安人員,並納入總經理室、或是其他單位如:總管理室、稽核室、人事財務部。資安人員知道問題核心、知道解決之道,但是由這些管理部門出面指揮,才能透過管理系統,將正確恰當的方法推到相關的單位與人員。
佈建強健的資訊體質、降低資安威脅
目前組織內無論內部或外部資安的威脅,面貌千變萬化,昨天有效的方法今天未必奏效。但是有一項事實值得關注,也就是強健的企業資訊體質,比較容易越過層層考驗。就像任何新的傳染病散佈時,對個人而言的建議多是:多吃青菜、多喝水、多運動、早睡早起,讓身子健康。
企業的資訊體質如何強健呢?經驗豐富勇於任事的資訊人員、一套完整的管理協力廠的方式、將安全納入資訊系統規劃中、讓所有人比較願意遵守安全規範。
向國際大廠取經
個人訪問過的所有國際資訊大廠,除了都有一套清楚的電腦設備使用規範、資訊安全規範之外,幾乎在總部統一管控整體的資訊系統。其中最令我佩服的是,大手筆汰舊換新以確保最少的機型與作業系統,讓管理的動作簡化。其效益是,以最少的人力達成最高的管理效果。
另一個小動作但是大啟示,個人用的手機、PDA、筆記型電腦,全部由公司提供。早期以為是一種福利措施,接觸資安之後才發現,這項投資最大的好處有二:方便統一的管理、同時也可建立公器公用的習慣。當組織面對郵件監控、通訊監控,常常得面對隱私與公司管理的矛盾,但是,只要釐清公器公用的觀念,監控是在公用的範疇,問題就不存在了。
提升品質文化到安全文化
台灣從早期製造業被客戶要求導入ISO9000,幾乎同一時間政府也大力倡導推動品質提升計畫。經過這一二十年來的持續推動,現在不僅製造業完全以此為標竿,連帶在服務業以及各行各業都以導入品質管理系統,作為企業競爭力的依據。
我們發現的類似現象,也在安全方面顯露出徵兆。有名的恩隆案,只是一名組織內的員工,就可以讓企業一夜垮台,去年的法國興業銀行,再一次出現類似事件。
911之後全世界都體認到新的風險無所不在,紛紛將安全防範的標準一再提高。
再加上這幾年全球各地一再出現個人資料外洩,駭客攻擊行為更轉變為組織化,歐美政府、跨國信用卡組織,無不逐一制定資訊安全的法規或行業安全標準。
這幾年,越來越多的台灣高科技製造業,紛紛接到客戶要求的安全機制,甚至是下訂單的重要考量。
這兩年更出現上游的廠家選擇協力廠時,會請安全人員實地稽核協力廠的安全體制及實際實施方式,如果安全做法實在太差,就會從採購名單直接剔除。在目前高喊提升台灣的產業附加價值、提高服務業的競爭力,具遠見的企業家、單位主管實在應該將安全的視野拉高,從戰略層級建立一個安全文化組織,除了安全議題之外,更是單位組織面對瞬息萬變外界挑戰的最好憑藉。
要不要取得安全的證書?
政府在早期強制要求各單位導入ISO27001資訊安全管理系統,並必須取得證書。由於是強制要求,許多單位花了無數人力、物力,以取得證書為目的。結果是以價格導向,選擇廉價的輔導公司、驗證公司,熱熱鬧鬧經過一些表面動作,取得一紙象徵性的證書,證書到手一切回復原貌。
這種本末倒置的動作,還不如省下寶貴的有限資安預算,將一些更緊急的動作補強,效益還大一些。所以,如果不考慮外在因素,建議參考國際資安管理標準,依據標準檢視哪些適用目前組織的特性,依現有能運用的資源逐步建置,早一天建立,就早一天打下長治久安的基礎。
當然,如果外界競爭壓力存在,取得證書可以增加客戶的信心、海外相關組織或主管機關的快速接納,則取得證書就有實質必要性。在這關鍵時刻,個人仍希望再次強調:花高一些的預算找有經驗、負責任的輔導公司及驗證公司。他們可能比較嚴格、不太放水,但是相對的好處則是,企業或組織可以透過實作,真正建立一套適合組織需求的管理系統,繼而逐步建立一套安全的文化。
相關法規的遵循
近年來由於舞弊事件層出不窮,有鑒於強化企業的內部控制以及主管機關的監督責任,各國政府紛紛進行相關法規的擬定與修改,大家較耳熟能詳的就是美國2002年由Paul Sarbanes和Michael Oxley所提出的沙氏法案,法案內容的一部分強調了企業財務報表揭露,不但沒有提及資訊系統管理,更沒有談論到資訊安全,但是卻強調資訊在傳遞、處理甚至揭露過程上應有的內部控制,也因此引出資安的議題。
對於資訊的處理與揭露,除了最直接財務會計部門之外,另一個就是IT部門了。在現今資訊科技發達的時代裡,幾乎所有企業都必須仰賴資訊系統來進行資料的處理、運算與輸出,因此IT部門雖然僅是這些企業資料的保管者,但他們卻也擁有變動這些資料的能力,為了確保這些財務報導相關法規的遵循,資安也儼然成為法令遵循的重要議題之一。
2008年4月開始,在日本上市的企業,包含其子公司與分公司也都必須符合J-SOX的要求,J-SOX與美國SOX一樣,強調上市公司的內部控制,但J-SOX更積極點出IT管理的重要性,對於資訊處理的機密、有效、完整甚至可用性等都有了更進一步的要求,這對於企業內部的資安人員來說,無疑是推動資安的重要基石,但這也顯示資安人員將來必須對企業資安內部控制的結果負起更大的責任。
國內企業如果與美國或日本有業務活財務往來,勢必會被要求遵循這些相關的法規。同時,目前國內與資訊安全相關的法規只有個人資料保護法,但是對政府單位,以及資通安全會報對於A、B級機構需通過ISO 27001認證的規定。身為企業或組織的領導人,必須從最高的制高點,切實督導相關部門落實要求。
行銷的時代、資訊暢通的時代,終端用戶的主導力量越來越強。維護企業形象、品牌形象的必要性也越趨重要,任何資安事件或多或少都會影響企業形象。除此之外,消費意識抬頭的同時,企業的社會責任也開始被不斷的提醒,落實一個安全的文化,肇基於百年企業的企圖心與責任感,對一位有企圖心的組織領導人,不該再忽視了。
一些似是而非的觀念
獲利與生存都夠頭疼了,未來風險以後再說?
安全無法帶來直接貢獻,但可能功虧一簣。公司規模還不大的時候,就該著手建立基本安全的規範、逐漸養成安全的作業習慣,等到業績成長到一定水準後,公司體制將更容易支持那時的規模,消弭成長瓶頸。
安全沒有百分之百?
我們無法將風險降為零,也不該將防禦戰線拉的太長。靜下心來仔細衡量哪些重要資產可能承受哪些種風險,將有限資源集中在最需要防護的地方全力做好。
要做的那麼多,要多少錢?
全面評估單點突破。安全防護需要考慮的層面既寬又深,如何運用有限資源?比較好的方法是聘請顧問,將最需要防護的地方定義清楚、選擇恰當的應對方法,持續進行逐步改善強化。人力不夠、預算不多,更該將一切資源用在刀口上,做對的事。
為何一個盒子要那麼貴?
買資安設施的精神是買服務,不要執著在價格比較。所有資安的設備,無論軟體或硬體,都代表廠家對資安問題的了解,透過這些資安設備規劃出解決方案。更因為電腦應用技術不斷進步(VoIP, Skype, 3G手機、…等)、駭客攻擊技術不斷精進,資安廠家必須隨時提供更新的資訊與服務。所以,所有資安的採購,都是購買服務,價格不是要點,常常最低價的,品質及服務也一定較低。既然買安全防護,為何買半套?買三分之二套?
養了資訊人員了,為何還要廠家做那麼多事?
資安範圍廣大,需要一群專家,委外是必要的。資安範圍大且深,任何組織無法聘僱各式資安人員來面對。再加上,資安的威脅與攻擊模式日新月異,網路服務更面對全球駭客高手,安全委外不可免。委外要件:訂定恰當的服務水準同意書(Service Level Agreement)、實際打聽及聯繫該廠家服務過的客戶。
出事了,資訊人員能力有問題?
資安出事,問題不全在資訊人員,第一時間請不要責難、或輕視他們。電腦不會犯罪、人才會犯罪。資安事件的發生,都是人的問題。所有事件都是管理出問題,資訊人員只能駕馭技術,通常不具備人事指揮權。所以當事件發生,好好與資訊人員溝通,找出問題所在,及各種可能因應方式。事件處理完備後,更務必提供更多支援,確保不會再次發生。資安事件能做到下次不再犯就很厲害了。
糟了發生資安事件,還如何面對?
萬一不幸發生資安事件該怎麼辦?第一步,找出問題在哪裡?不要急著解釋,寧願慢些解釋而不要解釋錯誤,造成更大風波。第二步,評估可能的傷害,不論是主管機關的處罰、客戶的不滿甚至求償、輿論的指責…等。第三步,對外解釋:事件發生後可能必須面對主管機關、及社會大眾。如果必須面對社會大眾,其中面對媒體可不是一件容易的事。面對媒體的原則是簡要,重點擺在發生事件是什麼?關鍵問題為何?以及解決之道如何?更重要的是準備一篇新聞稿讓記者有個資訊的框架,才比較不會發生捕風捉影的片段新聞,讓問題更複雜。除此之外請慎選發言人,建議由總經理或資深安全官,二者選其一。
災難應變計畫是大企業才需要的?
可能的話,擬一套災難應變計畫,最好再演練一下。電腦設備越來越精良,儲存資料越來越多,企業組織對電腦的依賴愈來愈深。也因為對電腦設備的依賴極深,那麼是不是該假設電腦系統可能因為人為或天然災害的影響,造成系統停頓或損壞。今日的電腦系統一停頓,直接影響的有業務隨之停頓或對外的服務也因之中斷。在目前微利的時代,哪個組織可以經的起這種災害?所以,應該假設幾種系統停頓的可能情境,並規劃好應變措施。就如同SARS期間許多企業大都擬好萬一企業或組織受災情影響,所該對應的應變計畫。
更重要的是,適時的做一下演習。畢竟,萬一真的出事,短時間就得做恰當得應變,只有劇本是來不及讓所有相關的人在短時間就知道做哪些處置、溝通協調。
演習還有一個好處,可以就實際狀況檢視計畫的可執行度有多高?進而做必要的修訂。
客戶資料在電腦裡,當然是資訊人員負責保管?
誰使用客戶資料、就負保管職責、而不是資訊人員。我們將車子開進停車場,通常有一個告示牌『貴重物品請隨身攜帶,本場不負保管職責』。組織內的重要資料,實際運用的人應該同時肩負保管的職責。資訊人員負責將資訊設備及環境整理好,保管的責任應該由資料的運用及擁有者承擔。