資安威脅是層出不窮的,也沒有100%的安全措施能有效防止資安事件的發生,因此,對IT設備、解決方案及威脅風險等最新趨勢,身為資訊中心的主管,都必須要瞭若指掌。彩富電子資訊中心經理薛棊一,平時除了定期閱讀資安相關雜誌,吸收訊息,資管碩士畢業的他,曾進入美國貝爾實驗室接受資訊安全進修課程,憑藉著豐富IT實務經驗,協助彩富規劃、建置與管理資安環境。
隔離網路,管理流量,扮演主動角色 業務範圍涵蓋安全監控的彩富電子,對於「安全」當然格外重視。彩富以研發創新為主要理念,其研發經費與研發人力比重均較同行為高,因此現階段最關注的核心系統當然非研發資料主機莫屬;除此之外,存放大量財務、客戶交易資料的ERP系統,也是彩富所重視的。目前對核心系統的基本防護都已建置完成,包括內部控制、電腦稽核、資料異地備援、身分權限控管、限制登入錯誤次數及MSN管制等保護措施,也有做系統的風險控管,並不斷評估網內網外的環境,找出因應的安全對策。然而這些核心資料可能會因其他部門的業務需求,面臨跨部門管理與跨區域問題,這部分彩富採取身分權限控管,跨部門若要接觸資料,除了上述防護,還必須經過系統申請使用權限。
由於「研發」是公司競爭優勢來源,對於研發資料安全課題的重視自然不在話下。除了研發,彩富也從事生產、銷售、接受國際大廠代工服務等業務,因此提供滿足客戶需求產品,彩富更視為命脈。為了提供公司產品測試與Demo網路環境,建置了VLAN,協助研發部門做產品的開發測試;當初為什麼有這樣的構想?薛棊一表示,在做公司系統、網路規劃時,就覺得應向數位化發展,因此便與RD主管不斷溝通,欲將公司網路系統納入。早期IT部門除了做MIS的管理,也會協助研發部門設置網際網路,RD和MIS間的合作相當緊密。薛棊一笑說,剛開始公司產品送到客戶那邊,客戶發現無法與網際網路連線,於是公司MIS就派系統工程師去協助,客戶看了很驚訝,「怎麼是MIS而不是RD人員來解決?」
薛棊一進一步說明,其實以網路管理而言,網路攝影機與電腦傳輸資料都是數位化,管控1部電腦跟1部攝影機其基本原理是一樣的,而彩富研發人員開發測試時都會建置多台網路攝影機與數位影像錄放機,其資料流量非常龐大,所以MIS為避免一般電腦網路流量與研發測試網路流量混在一起,其間的分流管理相當重要,所
以才會建構用VLAN隔離網段的環境。當初在評估網管軟體時,除了要求提供網路流量報表,也希望日後對公司相關產品流量能進一步管理及分析,協助產品改進,而網路設備及網管軟體也要能具備高度延展性。
但RD部門是個自我意識較強的單位,在內部網路管理上難免會有衝突。薛棊一說,衝突難免,雙方要經過溝通協調,彼此妥協讓步都能達到雙贏結果,畢竟大夥站在同一條船上,都希望公司發展更好。而建置這個平台有帶來效益嗎?薛棊一說,資訊中心是維持企業運籌的單位,就像水電看起來不起眼,但卻不可或缺,資訊服務亦是如此。至於所帶來的效益,薛棊一指出,這無法用精確數字說明,但很明顯,現在RD人員有任何問題,都會向資訊中心詢問及要求協助,從這裡可以見到RD對這項IT建置的依賴及對資訊中心同仁的信賴。
根據需求 找出關鍵 資訊安全投資有先後順序,先做該做的,不先打好基礎,後續的建置都將會付諸東流。在爭取任何一項IT投資前,要先知道公司營運重點,評估資訊中心人力及專業能力、網路架構及可能面臨的風險威脅,再去尋覓適當的IT解決方案;知己知彼,對資訊安全要有分析評估的能力,才能知道各項解決方案是否能滿足公司需求。
但資訊安全很難量化,資安事件沒有發生,任何資安投資對老闆而言都很難據以決策。要如何說服老闆投資?薛棊一表示,他會請教MIS朋友的經驗,並請廠商提供現場測試以蒐集相關數據,做好這些技術評估報告,配合財務規劃,綜合成成本效益評估(若金額龐大,甚至要提出租賃方案)給老闆,以取得老闆的認可與支持。
可是IT工具都要花錢,卻看不到立即成效,是否可以不花錢的政策來提升資訊安全?薛棊一說,公司的營運管理,除了基本的內部控制來防止公司資訊不當的曝光與破壞,電腦稽核也是資訊安全重要的一環,會計師每年都會有電腦稽核來稽核ERP系統、網路及主機環境及相關內控程序等,所以彩富在資安政策上也要符合上櫃公司內部控制的要求。薛棊一笑稱自己是個懂IT的生意人,所有在IT上的投資,最終目的就是要協助公司營運成長,要將錢花在刀口上。
汲取經驗 規劃管理制度
資安除了運用I T做防護,公司政策亦是重點。當新進人員進入公司,彩富會
先做初步的資安教育訓練,等真正碰到問題時再給予口頭警戒, 薛棊一表示,有次工廠員工反映與客戶端間的網路效能慢,經過偵測,發現有員工將MP3檔放置在公司伺服器,後來除了立即刪除檔案外,也再一次的對該員工做出警告並告知主管。但上有政策下有對策,政策大家都知道,但常會為一己之便,將規定拋開,薛棊一說,這兩難局面是難以避免的。
IT挑戰 如何開源節流
薛棊一認為,目前彩富面臨的最大IT挑戰,就是如何運用資訊科技,適時導入以支持公司營運成長。一般IT技術人員評估IT設備都希望是最新最好,以「最佳化」出發,但CIO與老闆,則以「最適化」為考量,在安全與營運間取得平衡。IT主管就是IT資源預算分配者,如何拿捏投資先後順序?他指出,開源節流是最重要的,「開源」泛指IT部門運用IT來提升客戶滿意度,為公司帶來效益。彩富為提高業務量,不斷依實際運作狀況改善內外部網路環境,使其可透過網站查詢公司產品並利用Live Demo讓潛在客戶體驗產品,進而開創合作商機;同時也為提升研發人員開發新產品時的便利性,MIS亦會將內部網路設備隨之調整,兼顧安全,又能滿
足各單位需求。「節流」則係指如何降低外在威脅所造成的損失,考慮到公司的擴充所帶來的資安漏洞。技術的更新固然是個挑戰,但身為IT主管,如何適時的因應公司成長、面對外部的威脅,更是一個重要課題。
儘管要開源節流,但大部分IT預算都取之於公司,對此,薛棊一透露,他去年已聯合多家公司申請「小型企業創新研發」專案,由經濟部補助,以創意為根基;專案通過後,政府將每年對IT設備、人員薪資提供10%及40%的補助。但僧多粥少,要獲得政府青睞得到補助,企業當然要有特別的創意及專家協助計劃、評估預算等,企業內部資源有限就轉向政府申請,善用外面資源,讓IT投資不花半毛錢!目前這項計畫的相關法令文件已經完成,接下來就等政府評審委員去評審;期待這項建案快速通過,讓更多創新的企業能增進IT發展。
未來規劃 彩富資訊中心人手精簡,故涉及的專業技能又多又雜。身為IT人員都必須有很強的自我學習能力及系統管理思維,但因人手及專業知識有限,所以彩富會利用委外的方式,協助IT部門作業。那不擔心有安全的風險嗎?薛棊一表示,公司會找值得信賴的廠商,依公司需求做個案處理,唯資訊中心仍需有驗收的能力,以掌控委外服務的品質。
對於未來規劃,薛棊一說,當初在公司做IT整體規劃時,就已經和總經理等高階主管談論公司未來營運方向,並擬訂出一個資訊系統整體架構。目前彩富資訊中心的狀況也都在當初規劃架構之中,包括基礎建設、應用程式、企業流程管理等,但IT解決方案不斷推陳出新,計畫永遠趕不上變化,薛棊一對此表示,大方向不變,要有一定的框架,再依照公司狀況,適時去做變更,並階段性的完成。
彩富電子經驗分享
1. 善用人脈,與同行做資訊安全經驗分享,並制定一套安全規範。
2. 了解公司目前狀況,評估可能風險,找出適當解決方案。
3. 積極主動詢問各家資安廠商推出的解決方案,並仔細評估。
4. 良好的IT團隊,具有自我學習的能力,並定期安排相關課程的訓練。 |