CIGNA公司讓事業經理人肩負資安職責— 資安新典範逐漸成型

典範轉移
Amy Bennett 同樣也是在CIGNA公司內負責安全相關工作，她的資訊保護官（Information Protection Officer）職稱也頗符合其工作內容，而Craig A. Shumard則是資訊保護部門的副總裁，他們聯手檢視與改造CIGNA的安全架構，包括安全意識的建立與填補組織文化的安全縫隙。
Bennett可以說是CIGNA公司安全模型的代表人物，在解決面臨解體的各部門安全人員的互信與由來已久的效率低落問題，花了整整六年的時間。她負責在公司內各部門間的平行線上，穿針引線地使其整合在一起，瞭解不同部門間的文化差異與語言差異，逐步調整各部門安全人員的步調。她是透過重新改善與訓練新的資訊保護人員來擔任協調者的緩衝角色，並且提供各種實用的經驗分享與見解，融入各種營運流程之中，然後確保這些訊息可以滲透到CIGNA全球兩萬七千名員工的工作中。
Bennett說：「第一步要做的就是讓資訊保護人員及義工，到各自單位中去宣導資安的重要性。」「談到一些建議書徵求說明書（RFP﹐Requests for Proposals）、資訊保護等級以及與各單位業務之間的關聯，發生資安事件如何造成各業務的衝擊，最終會影響到股東權益與造成財務問題。當你開始試著從顧客的角度來處理事情，並且瞭解到資安問題會直接衝擊公司的生計，你就算是踏出安全的第一步，而且這也是一次成功、有意義的宣導對談。」
Yankee Group資深分析師Jim Slaby認為，將這些安全相關訊息傳遞到每個事業部門的帶頭者，比起CEO與CISO在定期會議上沉重的宣誓來的有效多了。 Slaby說：「雖然由高層來引領整個資安宣導，是一個低成本也有一定成效的辦法，這種由上而下的方式對於新進員工的教育訓練是挺有效的，告訴他們公司重視資安等同於任何一種業務的重視程度。如果在日常的會議中不斷宣導，就會顯得沉重且需要一個更好的推動方式。」
Slaby認為大多數的訊息來自於安全與IT的營運，如果這種安全上的指導，是來自於頂頭上司的指示，就不會感到突兀且無所適從，也不會讓你的工作變的更複雜與困難。讓員工覺得這不過就是一般作業程序罷了。我非常同意這種有效的作法，不過倒是還沒有看到大部分的公司，會從這個角度下手。

羅馬不是一天造成的
企業就像是一艘船，不會無緣無故就開動，也正意味著改變企業文化是需要時間來推動的，尤其是安全相關的文化。Burton Group資深分析師Fred Cohen如是說。 Cohen說：「如果資安認知的深植過程，無法與各部門的負責人相互配合，可能會把員工導向到一個錯誤的方向。資安不僅是要靠安全部門加以推廣，而且要變成大家工作中的一部份。」
Monahan是CIGNA公司中第一個資安先鋒，她與其他的資安協調人，已經成功地建立起影響深遠且有用的重大改革，包括建立顧客資料的單一索引，而不再是用身份證字號來表示。資安專案如此成功地推行，全仰仗溝通管道的暢通以及協調人居中牽線的功夫。
「經過這樣子的溝通協調，我們也收到了許多回饋的建議，而這些建議大多也被納入實行計畫之中，使得整個計畫的推行更為緊密且完整。透過協調人，將上下之間的溝通緊緊地牽引在一起。」Monahan說。
Bennett認為在溝通與認知訓練技巧上，可以收集不少有用的資訊，像是因應趨勢而開設的教育訓練課程，或者是簡單的電子郵件隨時提醒，這些都是非常有效且容易整合入標準作業程序的議題。
「各種資訊保護人員必須各司其責，提供其他企業內的員工與其工作相關的安全資訊，使資安更容易落實。」Bennett說，「透過各種義務的資安協調人，反映各種重要的建議給他們的主管與上司，協調人不止要負責資訊保護的任務，還要擔當起高層的幕僚人員，協助高層業務營運團隊進行部門間相關的磋商。他們就是要向高層說出哪些是重要關鍵的措施，達到上行下效的功用。」

打破隔閡
自從六年前Shumard接下CIGNA的CISO職務以來，便致力於建構一個很平凡的安全部門，絲毫不加以刻意的渲染。
在1999年，CIGNA公司中每個部門都有一位安全官，負責協調公司在營運與科技上的相關事務。這些安全官雖然在不同的部門中，做的事情卻是大同小異，不外乎制定安全政策以保護公司的數位資產。正逢HIPPA推行導入，而這些人力也都專注在其中，反而一般日常的政策與安全需求容易被忽略。
「安全不是一個絕對成功與失敗的問題，沒有人是天生的資安好手，即使是做一般的業務也一樣。」Shumard回憶起以往的安全架構說，「那時部門間在安全上脫鉤，安全業務不容易推行。」
為了改變這種狀況，首要之務就是要在各部門間建立起溝通管道，透過各部門的安全官了解目前安全的現狀，不論是營業面或技術面的不足之處。安全官大多是技術背景出身而且對於安全均有一定程度的了解，在各部門中的安全官除了主要的安全業務之外，可能還必須身兼部分的業務工作。找到這樣能夠深切融入各部門的安全人員是Shumard最大的挑戰。在不同的業務單位，這種人才的數量與素質就有極大的差異。
實際上在CIGNA公司，這種技術能力與人員需求的狀況正逐步改善。同時，Shumard區分出六種不同的安全專家群，包括工程與標準、弱點與風險管理、事件應變與業務持續管理、政策認知與符合管理、一般作業與隱私。每個群組針對CIGNA公司的業務流程，負責不同的資產與風險評估管理，發展出一套檢驗與評分的辦法，驗證公司在安全工作上的進展。
從2000至2004年，這套辦法一直是CIGNA公司的標準作業模式。
Shumard表示︰「當然，凡事起頭難，從1999年剛開始時，評估分數一直很低。最近2004年的總評分數剛出爐，在報告中可以看出，雖然我們沒有樣樣做到做好，但是也在Stanford Research Institute benchmark所定義的19個衡量指標中，其中有6個項目成效分數超過高標，其餘項目也都相當接近高標。這是我們相當引以為豪且持續進行中的成果。」

聆聽與學習
為了尋求在CIGNA公司內部更多的互動與建議，讓資安的推動更為順暢，Shumard的團隊在去年決定採先破壞後建設的策略。
Shumard說︰「我們準備進入下一個階段，強調專業能力的提升，這時我們不再需要過多的居中協調者，從事以往教育員工的中介角色。接下來將從兩方面著手，包括業務面與技術面，需要憑經驗找到正確、有能力的人，以一個更有效率的方法把這些人組合成一個團隊。」
這種資訊保護義工與協調人的方法，來自於安全小組會議的建議。由跨部門的員工組成這個安全小組，目的在於得到一個CIGNA公司安全認知推廣的現狀與改善方法。不過，出乎意料地，最後的結論是員工都知道安全對於公司的重要性，但是要他們在日常的工作中落實，最好是由各部門的上司親自下令會來的更有效，如果只是透過安全部門發送電子郵件來做提醒，效果就沒有那麼顯著。
「假使可以從日常的工作管理與組織的作業程序中，使得安全根深蒂固，也就是讓各部門的主管親自參與其中，可以使員工在落實資安上，更為名正言順。這也就是為何我們需要各部門中，都有幾個自願的資訊保護協調人來扮演這個橋樑，因為他們最瞭解各部門的工作性質，可以真正提出有用、相關性高的建議，幫助我們可以把安全相關訊息傳遞到整個組織的每一個枝葉上。」Shumard說。
而Shumard的安全辦公室，則負起集中安全保護官員與聯繫來自於各部門的協調者，並且委任他們維繫起CIGNA的業務與技術的作業程序。
到目前為止，Shumard與Bennett已經建立起一套專家之間協調的機制，讓他們可以更容易進行成效評估與量化安全指標，得到更實際的分析結果，得知現在公司內的安全等級與現狀。
Shumard表示︰「你可以繼續窩在象牙塔中，想著要如何推行政策與程序，但是你要知道真實世界與象牙塔是有段距離的，走出小園地去接觸員工，瞭解他們的需求與建立互動關係才能有更大的效果。要做到讓『資訊安全人人有責』變成全公司的標語，你就必須先跨出這一步，建立一個新的模式，去實際感受它的所帶來的優越。」
MICHAEL S. MIMOSO是Information Security雜誌資深編輯。若有任何建議可寫信至iseditor@asmag.com。