https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

用平衡計分卡將資安融入公司治理

2009 / 07 / 13
陳彥銘
用平衡計分卡將資安融入公司治理
在搜尋如何將資訊安全整合至組織日常運作的過程中,需要不停嘗試不同的方法,平衡計分卡就是其中一種嘗試。

  世界上第一隻蠕蟲Morris worm是在超過20年前發生的,這20多年來資訊安全隨著人類科技的發達而逐漸成為顯學之一,但今天,這場資訊安全的戰爭依然持續著。許多不同的工具、產品跟方法試圖將資訊安全的觀念深植於政府、企業、組織與個人的觀念之中,方法很多,效果也有,但是這些效果並不見得涵蓋得夠廣夠深。有人倡導將資訊安全融入於日常運作的一部份,以治本方法解決資安問題。觀念雖佳,但是似乎還不能有效將企業的資訊安全成熟度提高,並且將資訊安全融入企業的核心裡面。因此,如何能夠有效地將資訊安全整合入企業或組織的日常運作中,就成為了一個很重要的研究課題。

  單純由下而上的資安措施成效有限2008年12月,卡內基美隆大學內的資訊安全實驗室CyLab發表了一份資訊安全與公司治理的調查報告 (註1),這個報告調查了703位在美國公開上市公司擔任董事,或是資深管理階層的意見後指出,在所有受訪者裡面,只有36%有直接參與資訊安全相關的監督管理工作,同時只有少部分的公司(8.5%受訪者)有將稽核(Audit)與風險 (Risk)兩者的權責劃分開來。在8.5%這麼低的比例中,還只有一半多一點(54%)有監督管理到與隱私和安全相關的部分。關於公司內更細部的分責,只有12%的受訪者的公司有將隱私、安全與IT管理的權責分開,也只有17%的受訪公司有定期招開公司內部跨部門的管理隱私與資訊安全的會議。

  這份調查報告基本上點出了不少問題,但比較重要的是看出現今企業中,資訊安全的影響程度為何?大部分的資訊安全相關措施是採取由下向上的方式 (bottom-up) ,例如拿安全(軟體)開發生命週期(Secure Development Lifecycle/Secure Software Development Lifecycle) 這類的方法來說,是先從許多已知的安全測試中所發現的問題開始,將問題分類,並且追溯根源到軟體開發方法中的不同步驟,
再從這些步驟中先抓出可能會發生的問題並且將這些問題解決。這一類的方法大多只能涵蓋到流程、標準、步驟以及方法,但是從公司治理的角度來說,卻只是一個由中間管理層次下達給員工的命令而已,甚至如調查報告所指出的,這些數字結果是常常被上層管理人員忽略的資訊之一。其原因就在於這些方法並不見得有和公司高層主管替公司所訂定的整體策略相互關連以及整合,因此雖然方法有用,但是效果可能只持續一小段時間而已。

  另外一個方向當然就是由上往下 (Top-down) 的方法,這個方法就是從公司的管理層面所擬定的策略開始,向下發展出詳細的計畫與目標,而帶領整個公司在資訊安全成熟度上向前邁進。這個方面的例子大概就是以Bill Gates在2002年7 月對微軟公司所發的一封信( 註2 )為代表作,代表公司高層對於資訊安全的重視並且以各種不同的行動來向下扎根。其他相關的比較有制度的方法還有例如I T I L或是C o B I T等框架(framework)。由上向下的方式有時候會給基層員工「事不關己」的感覺,例如企業員工對於公司的口號可能很難感同身受,並且付諸實行。雖然資訊安全從業人員都知道在這個產業裡沒有所謂的Silver Bullet,但是還是希望能夠找到一個給不同產業的公司行號都可以透過修改而適用的方法,來幫助企業擬定有意義的策略並且能夠有效的執行。

  由下而上或是由上而下2種方向並沒有絕對的好壞,兩者其實是需要並用的。但是就效果來說,如果沒有管理階層對資訊安全重要性的體認,進而要求詳細的策略與工作目標然後擬訂出流程、訂定標準化步驟然後執行監督管理的話,恐怕很多技術專案都將只是曇花一現而已。以往大家所熟知的資訊安全會議,例如黑帽 (Black Hat) 或是Defcon等都是以資安技術為重,屬於由下向上的方式,因此看多了這方面的會議可能會讓企業感覺已經沒有什麼新鮮事,只是同樣類型的資訊安全問題不停地在日新月異的科技應用或產品發生。而近年來也有一些不同型態的資訊安全會議出現,試著從不同的面向例如社會學、政策、經濟、管理或是心理學層面來討論資訊安全的影響。雖然吸引的人數可能還不是很多,但是在搜尋如何將資訊安全整合入企業或組織的日常運作這個問題答案的過程中,就需要不停的
嘗試不同的方法。平衡計分卡 (註3)就是其中一種嘗試。

  在這篇文章中我們將會介紹平衡計分卡的觀念,以及目前在資訊安全方面的應用。後續的文章裡面會介紹比較詳盡的觀念供讀者參考。文章的內容純粹是以筆者個人的經驗,以及在這議題上的學習心得,當然也歡迎讀者的指教與意見交流。

由上而下的平衡計分卡

  這一系列的文章是介紹對於將平衡計分卡應用在資訊安全上的可能方式與建議。平衡計分卡可以幫助企業將策略轉化成可測量的執行動作與結果,在訂定測量標準時必須注意到因果關係 (Cause-and-effect relationship)、績效的驅動因素 (Performance Driver) 以及跟財務結果相關的連結。簡單講,財務結果直接定義了公司本身策略目標執行的成功與否。

  在大約了解了平衡計分卡的觀念後,在接下來的文章裡,我們要先來看看目前已知有應用到平衡計分卡的相關資訊安全概念及研究,了解一些已知的做法,再來研究是否有可以改進的地方以適應不同型態的企業。

  平衡計分卡相關的資安觀念目前在不少書籍文件等參考資料裡面,可以找到一些與平衡計分卡或者是計分卡相關的資安觀念,大多相關的研究都是在2002年以後才出現。包括將平衡計分卡應用在資訊安全投資報酬率(ROSI)(註4、註5),以及衡量商業延續計畫成功與否的方面,對於平衡計分卡與資訊安全的結合使用,做比較深入介紹的也不少(註6~註10)。網路上也可以找到一些相關的部落格討論COBIT/ITIL/ISO相關的資安計分卡,或者是論述將計分卡方式與成熟度(Maturity) 結合的可能做法。但是綜觀目前所有的文獻及資料,還是讓人很難清楚知道要怎麼樣開始。因此,在能夠使用平衡計分卡之前,還是需要對自己目前企業有完整的了解,才能讓企業能夠按圖索驥找出對自己較佳的資安地圖。

  在本文裡,我們討論了資訊安全目前的現狀,以及將資訊安全整合入企業日常運行的目標。目前已經有很多資訊安全的方法論雖然是必要的,但是在企業裡推行若沒有管理階層的支持就會窒礙難行,有用但不有效。而在最近公佈的資安調查裡面也點出來,大多企業缺乏管理階層用由上向下(Top-Bottom)的方式來推行資訊安全。因此我們向外尋找方法。一般企業使用已久的平衡計分卡就是我們第一個探討的方法。我們並介紹了平衡計分卡的概要以及目前與資訊安全相關的文獻及研究重點。

  在下一篇文章裡我們將會介紹使用平衡計分卡之前需要先擬定的資訊安全相關策略,以及如何擬定策略的參考方法。

平衡計分卡簡介

  平衡計分卡(Balanced ScoreCard)是一個在商業界裡已經行之有年的方法。這個方法源起於哈佛商業學院的Robert S. Kaplan與當時在KPMG工作的David P. Norton於1990年展開的研究,並且將結果發表在1992年初的哈佛商業評論雜誌上。平衡計分卡提供了一個4個面向(Perspective)的框架(Framework),讓企業在擬定願景(Vision)與策略 (Strategy)之後能夠根據這4個面向發展出協助執行的專案 (Initiative)、目標(Objectives)等可以被衡量 (Measurable) 的因素,進而在可測量的情況下成功達成執行目標。這4個面向分別是:財務 (Financial)、客戶 ( C u s t o m e r )、內部商業流程 ( I n t e r n a l B u s i n e s s Process)以及學習與成長 (Learning and Growth)。

  接下來就這4個面向在平衡計分卡裡面的意義分別作一個簡單的介紹:

財務

  現今大多數的企業依然是以財務的成敗來定生死,就像去年開始的經濟不景氣甚至蕭條,很多公司面臨裁員減薪或甚至破產倒閉的危機,主要還是因為公司的財務體質關係,一旦碰到了問題,很快錢就不夠燒,而需要執行一些措施來保障公司的生存。在平衡計分卡裡面,財務面向主要是要衡量公司策略執行的成效,並且以財務狀態來做最後的表示方法。比較常見的財務方面的商業策略模式是公司成長、維持跟收成,這幾種模式都會需要對業績(Revenue)、費用(Cost)以及資產的利用與投資等部分進行衡量與監控。

客戶

  沒有了客戶這個角色,企業也不會有財務收入。客戶這個面向當然是企業在擬定平衡計分卡的時候需要考慮到的一個重點之一。在這個面向裡面,企業在擬定策略時,主要需要考慮的核心議題是市場區間、客戶滿意度、客戶存留、客戶取得與客戶獲利能力。在核心議題之外,也會考慮到像產品或服務的屬性、客戶關係以及公司的名聲與形象。

內部商業流程

  這個面向關注的是企業如何創造出產品或服務,並且能夠建立成熟的流程來維持企業營運。所關注的有3個部分,第1個是創新的流程,就是如何創造新的產品、服務或是辨識新的市場。第2個是作業流程,就是已知的產品或服務的作業流程,從生產製造到傳遞。第3個部分就是售後服務流程,在產品或服務售出後,如何繼續服務客戶以獲得客戶的滿意。

學習與成長

  最後第4個面向則是注重公司的人員以及組織制度系統的方面。沒有了人當然無法製造出產品或提供服務。有了人就需要有組織以及制度,並且利用適當的工具(系統)來輔助。因此這個面向注重的是員工的能力、資訊系統的能力,以及驅動力(Motivation),能力增強(empowerment)與根據目標調整組織的能力(alignment)。


參考資料:
註1: Westby, J. R., & Power, R. (2008, December 1). Governance of Enterprise Security Survey: CyLab 2008 Report. Retrieved December 1, 2008, from Carnegie Mellon CyLab:
http://www. cylab.cmu.edu/outreach/governance.html

註2: Gates, B. (2002, July 18). Trustworthy Computing. Retrieved December 8, 2008, from Microsoft Executive E-mail: http://
www.microsoft.com/mscorp/execmail/2002/07-18twc.mspx

註3: K a p l a n , R . S . , & N o r t o n , D . P . ( 1 9 9 6 ) . T h e B a l a n c e d Scorecard: Translating Strategy into Action. Boston: Harvard Business School Press.

註4: J o h n S h e r w o o d , A . C . ( 2 0 0 5 ) . E n t e r p r i s e S e c u r i t y Architecture: A Business-driven Approach. CMP Media.

註5: Tipton, H. F., & Krause, M. (2006). Information Security Management Handbook. CRC Press.

註6: J a q u i t h , A . ( 2 0 0 7 ) . S e c u r i t y M e t r i c s : R e p l a c i n g F e a r , Uncertainty, and Doubt. New Jersey: Addison Wesley.

註7: Caudle, S. (2008). The Balanced Scorecard: A Strategic Tool in Implementing Homeland Security Strategies. Homeland Security Affairs Journal .

註8: M i c r o s o f t . ( 2 0 0 7 , M a r 0 6 ) . B a l a n c e d S c o r e c a r d f o r Information Security Introduction. Retrieved from Microsoft TechNet Security TechCenter:
http://technet.microsoft.com/enus/library/bb821240.aspx
註9: P e u h k u r i n e n , K . ( 2 0 0 8 ) . P l a n s f o r a B a l a n c e d S c o r e c a r d A p p r o a c h t o I n f o r m a t i o n S e c u r i t y M e t r i c s . M e t r i C o n 3 . 0 Workshop Presentation.

註10: Stubbings, M. (2005). The use of Balanced Scorecards for Information Security. ECIW 2005 (pp. 345-354). AcademicConferences Limited.