2008資安標竿：政府-策略性思考為成功上策

政府單位若無視策略計畫，風險自負。

　　當人們談到發展安全計劃時，總是眼珠子轉啊轉，散發出一種無可奈何的氣息。經過幾年一些有趣的討論，我有了一些心得和結論，那就是對我們在策略思考上所做的努力，而所擬定產生的策略計畫數目，沒有比每年定期舉辦的腦力激盪訓練次數多出多少。基本上，對我們的安全組織而言，成果比較像是一個戰術計畫，而不是更甚於是一個真正的戰略眼光。

　　決策可能會使資安長丟飯碗，所以當談到未來戰略與當下戰術間的資源分配，或許那只是純粹個人決策，以確保自己有個安身立命的所在。Maslow已先提出這樣的觀點！你想到這有何聯繫了嗎？

　　當大野狼每天都來敲門時，我們要從策略性角度去考量，可能會發生在3年或5年後的風險，以及對該風險該有的應對措施時，是很困難的。然而，那無法向資安長安排的策略性安全教育訓練說不。

　　因此，我們的團隊每年一次在公司外部召開會議，制定「策略計畫」，結束時產生的結果通常都是戰術多於戰略。會後結果沒有產生真正的策略，因為我們沒有專心在必要的深度思考，提出一個稱得上「策略計畫」的見解。老實說，我已經做了很多年的策略計畫，而那是超過我的意願的，因為要制定一個策略計畫，必須花費相當多的時間與努力，而當你發現自己比較像是個救火員，更甚於是一位資安長的時候，你很難將一切合理化。

　　如果以前我們在這個產業的策略計畫與思考有作得更好的話，或許現在也不會到處都是蹩腳的應用程式，引來駭客注意。回想以前，我的策略性思考應該更專注在這些與營運相關的大問題上，因為如同我們大家都知道的，當企業遭逢安全事件時就已是身受其害。我知道舊應用系統對於現今我們所看到的指令執行，以及用戶端的攻擊是有弱點的，也許你也知道。我們長久以來是否都過於專注在星期二的弱點修補更新，或是最新的弱點評估結果如何？什麼時候開始，應用安全成為你的工作清單中最擔心的5大問題之一？5年前，我們甚至不曾聽過殭屍網路(botnets)，但是那就是弱點所在。很多年前我們就知道保護個人身分識別資料的問題，但曾幾何時它也成了你的背上刺棘心頭針。

　　對多數的營運週期商業循環來說，時代都正在改變，希望到最後安全能被視為營運上的關鍵事項。也許不盡如人意，但至少能被認定如此；因為智慧財產保防護的管理環境正在發展，要求也日益增加；而在政府部門，同樣有保護市民個人資訊安全的需求。因此，高瞻遠矚需要有某個程度的魄力，我認為資安長們是因為疏忽了真正的策略計畫而招致風險，因為沒有策略計畫來領航，是不可能有真正的成功。