資安人需提升決策階層的敏感度,讓資訊安全時時刻刻都被納入各業務的決策考量。
KGI凱基證券(原名中信證券)主要是提供台灣、香港及泰國的投資人各式各樣的投資理財與金融商品的專業服務。從傳統證券的經紀業務,陸續擴及債券業務和各類衍生性商品,像是利率衍生性商品、信用衍生性商品、股權衍生性商品、各式結構型商品等;且KGI在投資銀行業務也相當活躍,包括永豐餘造紙、台積電、茂迪等大型企業等都是該公司的核心客戶。另外,海外複委託業務的表現也非常優異,近2年來的業務量連續蟬聯國內券商中的第1名。該公司不僅注重多角化的金融服務,同時也相當重視風險管理,為了不受限於台灣淺碟市場的特性,因此凱基證券很早就戮力於海外市場的拓展,透過完整的區域化佈局及多樣化的獲利來源來分散企業經營的風險。
資安當從企業策略面思考起 由於券商掌握了投資人之個人與理財資料等,因此KGI除了必須接受主管機關金管會的監督外,本身對於資訊安全也是相當重視的。由於資訊安全是否能真正的發揮功效,公司經營階層的全力支持是一個關鍵的因素,所以KGI凱基證券將資訊安全的工作劃分在總經理室的職掌中,目前總經理室共有14名員工編制,其中專職負責資安工作的有2位同仁,KGI凱基證券經理黃頌舜便是主要的資安官,負責公司策略面的資安工作,如資安政策與安全作業程序的擬訂、資安與IT稽核的規畫、相關法令的遵循;還有另一名同仁來自資安公司技術背景,專職負責屬於資安技術層面,如防火牆Policy與網路設備的安全設定的覆核與建議、資安設備與技術的研究等,一文一武的組合,各有所長。
黃頌舜說,回顧4年前KGI並無專職資安之體系,不過由於當時的資訊長深感資安專責在企業中的重要性,同時稽核部門也需要有資訊安全查核相關專業的人員協助,因此才有專職資安人員的設置。不過因為資安工作除了focus在資訊部的作業外,也涵蓋全公司的業務,若由資訊部門管轄,恐無法有效彰顯其特有查核的功能,而當其他單位發生資安的風險時,以資訊部門之層級更也無法完全承擔,不僅在制度上不合理,在後續的改善與預防措施的推動,也恐無法達到預期的效果。而稽核部之主要工作是董事會查核各部門是否符合法規與內控制度等,但資安查核除了要能夠執行查核工作外,對受稽核單位來說,最好還要能夠提出如何改善之建議,甚者需要制訂相關規範供同仁遵行,資安專業既深且廣,為了能順利推動資安工作,並且得到總經理室主管的大力支持,因此就將資安功能納入總經理室的業務中。
KGI的資安工作主要是遵循ISO 27001以及證交所的「建立證券商資通安全檢查機制」進行,黃頌舜說,如果是被客戶或是主管機關強制要求導入資訊安全管理制度,勉強使用者改變原有的作業習慣,雖然會有陣痛,但是效益是可以立竿見影的,是一種比較快速的方式。不過取得認證並不是終極目標,是否能養成正確的習慣與觀念,並持久以恆,才是導入資安制度的意義。而儘管KGI並不完全以導入ISO27001並通過認證為資安的目標,而是採取一步一步從建立資安觀念,培養資安風險意識,制訂標準作業規範做起,從日常工作潛移默化,也收到相當不錯的成效。在KGI,資安由總經理資安人員負責,但全員參與的管道亦相當暢通,除了可以由資安官提出各項資安措施,並且向風險管理委員會報告,經由風管會決議外;各部門主管也可以在每個月的管理會議當中提出;或由業務部門直接提出,
並徵詢資安官建議;有時甚至是公司的最高管理階層直接交辦。
擁有在會計師事務所工作經驗的他提到,過去當顧問的經驗與現在擔任的角色,兩者的差異其實是很明顯的,最大的差異就是如何在公司資源與安全性之下取得平衡。他說外部稽核當然希望安全管得越嚴越好;但作為公司內部負責的角色,則同時要考量業務的遂行,就公司有限的資源衡量風險,若經評估後,該風險是公司可以並願意承受的,便不一定要花費大筆預算去做到相對嚴謹的控管,另外也可以透過其他不需額外花錢的補償性控管措施來降低風險,比起美好的理想面,要更重視實務面。
他舉例,委外開發系統常見的狀況是企業不一定會購買廠商所開發的原始碼,因為那通常會是一大筆金額,就算願意花錢購買,開發廠商也並不一定會提供,就像微軟並不開放視窗作業系統的原始碼一樣。但主管機關往往會希望他們能夠一一審視原始碼,以確保系統的安全性。當然,就資本雄厚或者規模大的企業而言,這的確是可以確保系統開發安全的方法,不過,現實面卻是,就算花了大把鈔票把原始碼給買回來,在人力、能力和架構上,也許都不太可能負荷,否則,又何須委外呢?當然也可以選擇國際知名大廠服務,以他們的商譽做為安全的保證,但在預算面上又會失去平衡,於是KGI的作法便是在委外的合約裡面保留一項彈性,可視情況對廠商的工作狀況或作業方式進行稽核,並且當軟體交到使用者手上之前,先由內部資訊人員進行測試,確認軟體品質及安全性。
不景氣下的另一風險 業務流程更動需注意 在如今這波金融海嘯的影響之下,KGI又是如何做好資安工作的呢?黃頌舜提到,在經濟不景氣之下各產業難免都會受到影響,但這時候也是審視作業流程的以及建立使用者正確觀念的好時機。他說由過去的顧問經驗中發現,有時候公司的節費方式會跟安全有所衝突,但是業務單位往往會忽略風險的考量。他舉例,本來一項工作要由A先做,B才能做,結果在公司精簡人力之下,把工作通通交由A來做,作業程序一旦變更,內控制度一旦失效,就有可能會發生安全或違規問題;或者為了業務績效或節省公司成本,允許人員的電腦不受公司管轄,或允許攜帶私人電腦至公司工作而不加以管制,此時專業的資安人,便應該將可能產生的風險一一評估、衡量,並提供可解決之方案給該單位負責人,他提到,將風險揭露出來並提醒各單位注意也是資安人的工作。
過去幾年來KGI都著重在於將資訊部門的作業流程標準化,由於企業仰賴資訊系統的程度很深,不管是哪個單位都必須依賴資訊系統來執行業務,同時各個系統又存在著許多重要資料,因此就從提供資訊服務,而且是管理企業資料的資訊部門開始著手,透過一次又一次的查核、改善,以及對資訊部門同仁的教育訓練、觀念導正等,慢慢將整個運作流程制度化,他認為制度化是最辛苦的一部份,越安全彈性便越低,引起的使用者反彈也會越多,但如果制度面可以建立起來,往後許多事情都可以按照規矩來而不出錯,不但可以降低許多風險,當制度建立起來之後,無形中也改善了不少效率問題。
「以前這樣做都沒問題,現在為什麼突然要改?」使用者的情緒出現了。「那公司是不信任我們囉?」也有同仁這樣質問。
其實這並不是「信任」的問題,而是有沒有建立制度的問題。除了「信任」,是不是還有其他的依據來做事情呢?因為連資訊資產都有弱點了,更何況是「人性」?再者,人也有疏忽或懈怠的時候,如果有更好、更單純的方式來做正確的事,為何不選擇呢?其實應該follow制度,而不是靠著對人的信任與過往的歷史經驗來決定工作的方式與態度,黃頌舜這樣與同仁溝通後,大家也就逐漸可以接受了。溝通的關鍵因素並不在部門位階高低,而是能否以自身的專業知識與態度,輔佐實例來讓同仁瞭解「改變」的必要與效益。同時,由於總經理與部門主管的支持,讓資安工作的推行也減少了許多不必要的阻力。此外,平日除了每2星期發行KGI資安電子報,將資訊安全訊息傳達給同仁之外,也使用公司內人資系統的E-learning平台來進行資安宣導課程,經過幾年時間的教育訓練,他認為的確是有所成效的。當資安意識潛移默化之後,同仁對於安全變得更敏感了,例如說,現在每當有新的商品或業務的時候,大家慢慢會注意到資安的議題,並諮詢他的意見,大家意識到,在業務啟動之前就將資安規劃進去,遠比事後還要花時間,甚至必須要花一大筆金額來彌補來得好。
密切注意個資法 提高資安敏感度 談到KGI明年的資安工作重點,他說,將會著重在客戶個人資料的保護上,個人與企業相比之下是屬於較弱勢之族群,因此法令也會多從保障個人的角度出發,例如政府正如火如荼推動「個人資料保護法」的修法, KGI相當重視新的「個人資料保護法」(預計明年通過),除了擴大保護客體、適用主體,以及加重民事刑事的外,並多了團體訴訟的規定,藉由結合民間的力量,來發揮保護個人資料之功能。黃頌舜說,由於KGI長久以來就一直很重視客戶資料的管理,未來「個人資料保護法」的修訂,其實對KGI來說,在作法上並不會有太大的改變。不過他希望在未來的資安工作當中,可以跟稽核部門密切配合,將客戶個資的保護納入稽核計劃中,並且希望從業務執行面來落實資安工作。由於過去已經做了不少的保護與奠基措施,現在主要增強的部份,就是要提升決策階層的敏感度,讓資訊安全時時刻刻都被納入各業務的決策考量。另外,他也打算在作業辦法上做更細部的修正,使得執行上更易被落實。他舉例,3年前制訂的「電子憑證使用與管理」作業辦法,隨著時間過去,他發現到很多的條則已經在實務運作上不適合去執行,於是今年便著手修訂。
資安工作人員的績效往往都是難以被彰顯的,資安威脅也不可能完全被杜絕,甚至發現了風險所在,在各種現實狀況考量上,也不一定能夠完全被改善,但黃頌舜認為,資安人能夠做的,就是依然要將各種風險、威脅一一揭露,提醒各單位把安全視做生活裡的一部分,逐步的加強每個員工的資安意識才能降低存在工作環境中的資安風險。
KGI凱基證券經驗分享
1. 當其他單位發生資安的風險時,以資訊部門之層級更也無法完全承擔,不僅在制度上不合理,在後續的改善與預防措施的推動,也恐無法達到預期的效果。
2. 在委外的合約裡面保留一項彈性,可視情況對廠商的工作狀況或作業方式進行稽核,並且當軟體交到使用者手上之前,先由內部資訊人員進行測試,確認軟體品質及安全性。
3. 應該follow制度,而不是靠著對人的信任與過往的歷史經驗來決定工作的方式與態度說,最好還要能夠提出如何改善之建議,甚者需要制訂相關規範供同仁遵行。 |