觀點

2008資安標竿:政府-策略性思考為成功上策

2009 / 07 / 08
MARK WEATHERFORD 譯 ■ 左恩燦
2008資安標竿:政府-策略性思考為成功上策
政府單位若無視策略計畫,風險自負。

  當人們談到發展安全計劃時,總是眼珠子轉啊轉,散發出一種無可奈何的氣息。經過幾年一些有趣的討論,我有了一些心得和結論,那就是對我們在策略思考上所做的努力,而所擬定產生的策略計畫數目,沒有比每年定期舉辦的腦力激盪訓練次數多出多少。基本上,對我們的安全組織而言,成果比較像是一個戰術計畫,而不是更甚於是一個真正的戰略眼光。

  決策可能會使資安長丟飯碗,所以當談到未來戰略與當下戰術間的資源分配,或許那只是純粹個人決策,以確保自己有個安身立命的所在。Maslow已先提出這樣的觀點!你想到這有何聯繫了嗎?

  當大野狼每天都來敲門時,我們要從策略性角度去考量,可能會發生在3年或5年後的風險,以及對該風險該有的應對措施時,是很困難的。然而,那無法向資安長安排的策略性安全教育訓練說不。

  因此,我們的團隊每年一次在公司外部召開會議,制定「策略計畫」,結束時產生的結果通常都是戰術多於戰略。會後結果沒有產生真正的策略,因為我們沒有專心在必要的深度思考,提出一個稱得上「策略計畫」的見解。老實說,我已經做了很多年的策略計畫,而那是超過我的意願的,因為要制定一個策略計畫,必須花費相當多的時間與努力,而當你發現自己比較像是個救火員,更甚於是一位資安長的時候,你很難將一切合理化。

  如果以前我們在這個產業的策略計畫與思考有作得更好的話,或許現在也不會到處都是蹩腳的應用程式,引來駭客注意。回想以前,我的策略性思考應該更專注在這些與營運相關的大問題上,因為如同我們大家都知道的,當企業遭逢安全事件時就已是身受其害。我知道舊應用系統對於現今我們所看到的指令執行,以及用戶端的攻擊是有弱點的,也許你也知道。我們長久以來是否都過於專注在星期二的弱點修補更新,或是最新的弱點評估結果如何?什麼時候開始,應用安全成為你的工作清單中最擔心的5大問題之一?5年前,我們甚至不曾聽過殭屍網路(botnets),但是那就是弱點所在。很多年前我們就知道保護個人身分識別資料的問題,但曾幾何時它也成了你的背上刺棘心頭針。

  對多數的營運週期商業循環來說,時代都正在改變,希望到最後安全能被視為營運上的關鍵事項。也許不盡如人意,但至少能被認定如此;因為智慧財產保防護的管理環境正在發展,要求也日益增加;而在政府部門,同樣有保護市民個人資訊安全的需求。因此,高瞻遠矚需要有某個程度的魄力,我認為資安長們是因為疏忽了真正的策略計畫而招致風險,因為沒有策略計畫來領航,是不可能有真正的成功。