呈現資安投資報酬率 從正確制定KPI做起

企業訂定完善資安工作KPI指標，才能診斷現階段企業營運關於資訊安全問題，並進一步與企業營運環環相扣，循序漸進的達成企業經營目標。

在上期資安人中，與您分享資安人員要如何向高層爭取資安採購預算：以不花錢為
優先考量，並考慮採購首重「需求」面。本期將繼續延續此話題，從人員及流程面，探討如何設定KPI值(Key Performance Indicator，關鍵績效指標)，讓老闆看到成效、願意持續投資。

資安KPI該算誰的？
首先必須說明的是，不論公司推行績效管理作法為何，通常KPI多少會跟個人績效相 關，只是資安相關之KPI項目的多寡以及比重會有所差異，如果公司並未推行績效管理，這一部份筆者還是建議資安人或IT人應該去思考KPI，並盡可能與直接主管達成共識。
資安工作的KPI既然可能直接與個人荷包（薪資、考核、加減薪、獎金…）有關，就 會比較敏感，因此在定義前要特別謹慎。
就一般企業組織而言，資安管理工作在權責分工的角度上，一般約略可分為：
1. 第一線執行者通常是IT系統管理員(System Administrator Group)，操作員(Operators) 等，負責系統安全設定、維護等。
2. 安全監控者(Security Monitoring Group)， 監控安全設備例如防火牆、入侵偵測系統等的安全事件記錄、系統管理者(System Administrator) 的高權限行為等，而有些較具規模的公司，還有專責組織規劃及管理資訊風險管理工作。
3. 一般使用者。因此關於例如「未經授權之高權限行為發生次數」之類的KPI明顯不適合列在系統管理員上。而對於例如「系統修補程式安裝完成度」就不適合設定於安全監控／?資訊風險管理的角色上，因為實際安裝修補程式應該是具有系統管理者權限的人所執行的才是。
此外資安工作一般使用者的參與是不可或缺的一環，例如：「資訊安全教育訓練的
完成度」的KPI是可以考慮的，有些公司組織為落實資訊安全及風險管理，甚至將此KPI列為一般主管的績效之一。因為通常主管的態度會影響員工的行為，KPI該由誰承襲，要根據角色權責而訂，才能發揮效果。

設定KPI要SMART
簡單來講，KPI設計要能符合SMART原則：明確(Specific)、可衡量(Measurable)可達成 (Attainable)、實際可行的(Realistic)、有時效的(Timely)。
有關於SMART原則不在此贅述，要訂出一個SMART KPI，背後所代表的意義是，您需要許多管理資訊的支援，這是在評估資安解決方案時需要考量的，例如這系統它是否能提供設計KPI以及後續呈報所需的資訊，如果沒有，將來成效難以呈現，或是需耗費許多人力加工才能提出老闆需要的報表，這對於人力資源又是一項沈重負擔，這些是大家都知道的道理，但是許多資安人或IT人在評估資安解決方案常常為其技術功能所迷惑，而忽略這些重點。因此筆者通常會將這些未來KPI所需的資訊
與功能列為評估項目。例如：
1. 關於系統修補程式屬於重大等級的必須在修補程式釋出3天之內完成所有正式上線中Production主機100%的安裝。
2. 公司所有對外網站，在1年之內，遭到入侵的次
數。
資安人或IT人在評估資安解決方案必須將公司的「需求」、「管理目標」、「效益」轉化成SMART KPI，再將KPI的衡量方式反應在解決方案技術面評估要項，如此一來解決方案的選擇就會較貼近商業需求。

推廣KPI最大關鍵因素在於人
就像推行任何政策或改變一樣，推行KPI都會面臨：抗拒、妥協與適應、最佳化的幾個過程，然後進入下一個改善的循環。

抗拒期─堅持，讓作業程序能被落實執行
不論KPI是否設計合理，在執行初期必然會有一段適應期，通常為蒐集KPI所需資訊，多少會增加工作量，這在導入資安解決方案或作業程序就必須考慮的，這對於人性來說，會產生抗拒是非常自然的，人員可能會抱怨或不願執行，但主管或資安工作管理者要能堅持，至少走完一個流程循環，檢視是否能蒐集到KPI資料，再評估修正調整的可能。但是在執行初期所蒐集到的KPI資訊或任何管理資訊是還不能直接拿來運用的，也不宜用來質疑同仁的執
行成效。但管理者必須思考，因為執行同仁為滿足KPI要求可能利用自己時間加班完成，或是暫時放下手邊所有的事去完成此項工作。這時如果以此績效當考核標準，便會與事實相違背。而如果同仁依據正常時間以及程序來執行作業，也可能會出現KPI無法達成的情況，管理階層如果以此追究同仁執行成效，同仁就會有被針對的感 覺，非但無法提升績效，反彈聲浪也會越來越大；主管和同仁必須建立起信任關係，要先與同仁溝通流程所出現的問題，並修正KPI，在此階段能讓作業
流程順利執行，KPI管理資訊能得已蒐集是重點，而非KPI的好壞及是否能達成目標數值。

適應與妥協─運用KPI，提昇資訊品質
當流程或資安系統在執行與KPI的蒐集，在經過一段時間運作之後，對於流程問題一般來說雜音 應該會逐漸減少，而資安系統運作也應趨於穩定，因為執行員工知道管理階層的堅持，會漸漸妥協，並逐漸適應，在心理上會從原本的抗拒，而慢慢接受並執行，因此所蒐集到的KPI資訊是比較能做為參考及分析之用。
此外，有些KPI資訊會呈現第一線IT人員工作成效，因此他們可能對於數字或結果斤斤計較，例如筆者實務經驗是，我們在對於高階主管的定期管理報表中，有一項是對於系統修補程式安裝的完成度的KPI，而驗證的方式是透過弱點掃瞄工具來確
認，剛開始時，數字當然很嚇人，因此IT人員可能對於工具是否誤判而爭論，甚至協調可否能通融一段時間，上完修補程式後再掃瞄一次，數字會比較漂亮，再產出報表給高階主管。這種狀況維持了一段時間，初期我會滿足其要求給予通融，這對於資訊風險管理來說其實並不妥當，但我認為我的目的已經達成，他們對於系統修補程式安裝完成度會在意，對於誤判會去找原廠確認、測試，雖然是用來
跟我討價還價這「修補程式更新完成度的KPI」，但修補程式管理目標之一不就是在此嗎？我所期待的是對於修補程式管理作業的成熟發展。
當一切包括定期掃瞄、產生報表呈報主管都妥協後，所謂妥協意味著程序能夠重複執行 Repeatable)，你才能往下一步改善邁進（提高KPI的質或量），但這KPI無形中已將IT的執行成效：更新修補程式的績效，與主管所在意的，透過及時完整
修補程式更新以降低資訊風險（如感染病毒影響維運等）的商業需求產生連結。不論結果是好是壞。
因此對於負責管理資安工作或IT的主管，KPI可以用來跟上級主管溝通工作成效，同樣也可以用來與員工溝通工作重心與價值；「人」是必須要關注的焦點。

最佳化，IT 執行績效的呈現，資安管理品質提昇的契機
當作業流程以及人員不再是問題之後，如何運用KPI？
一般企業在裝設防火牆、IDS/IPS（入侵偵測系統／入侵防禦系統）等設備時，目的不外乎為防堵外部攻擊。以防火牆為例，企業多半預期防火牆可以阻擋來自Internet的攻擊行為，若因此而將KPI衡量指標設定為防火牆一天所攔截的攻擊次數；其實是 消極、無實質意義的指標；防火牆的真正目的，是抵擋外來攻擊，但企業更關注的是尚有多少攻擊行為未被有效防堵，將KPI設為此一標準，才是企業IT
人員應該去思考的層面。然而就以此例而言，如何知道有哪些攻擊沒有被攔截下來？這可能需要其他機制的輔助，對於資安管理工作而言，IT或資安人員有許多議題要思考，是要第二層防火牆？還是IDS/ IPS？這時又回到了商業「需求」、「管理目標」、「效益」等課題。
然而如果企業無法負擔其他解決方案的成本，您還是得訂出KPI，例如網頁被入侵竄改的頻率，這雖然是較消極的KPI，看起來似乎也與防火牆本身的KPI無關，但是這不就是管理階層當初決定買防火牆的考量之一嗎？能呈現出這些KPI資訊，同樣能展現您的執行績效。
透過KPI來管理資安工作成效，包括People、Process、Technology，多數從事資安或IT工作的人可能也都了解如何去設定KPI，筆者想要表達的是，
如何透過這個大家熟知的機制來推廣資安工作。也就是如何跟商業營運能緊密結合，在上期資安人中提到提報資安採購需了解公司「需求」、「管理目
標」、「效益」等重要議題，當主管同意採購案，也順利建置上線，接下來的課題是，如何證明當初所評估的「需求」、「管理目標」、「效益」與專案計畫相符？透過KPI是一種方式，這除了證明資安解決方案是否能滿足降低或控制資安風險的需求及效益，同時也證明了你專案規劃的能力。