運用平衡計分卡擬定資安策略

在上期《資安人》介紹了平衡計分卡的觀念與相關的資安應用。這次則要利用這些觀念來將資訊安全整合入企業的整體規劃中。

　　首先開始的部分是擬定一般商業目標以外的資訊安全相關目標，有了目標和願景之後再開始訂定策略，然後運用平衡計分卡的觀念來協助策略的執行。在執行後根據執行結果再來對目標及策略等進行修正。這就是策略生命流程。

　　這樣的生命流程也常見於其他的領域，背後的哲學也就是「嘗試並修正」。會採用這樣的態度是因為認知到並沒有一個適用於各種情況的通用解決方案，所以必須要保留一些彈性，才能夠根據結果修正接下來的步驟。

願景與目標

　　第1個步驟就是擬定願景與目標。每個企業或是組織多多少少都會有既定的願景與目標，所謂的願景就是描述企業或組織成立的目的以及未來的目標。例如企業要成為最先進與創新的業者，要達成這個目標就必須在技術、製造成本以及其他方面，例如商譽、整體效益或是服務能力等條件上領先同業才行。以往除了資安產業的廠商，資訊安全並不會出現在其他企業或組織的願景與目標中。但是現今的情勢，資訊安全可以說是幫助企業達成願景與目標最重要的一個特質之一。接下來我們就來看看可以採用什麼樣的方式將資訊安全融合於願景與目標中，再來制定策略。

　　我們的終極目標是讓資訊安全能夠和企業組織的運作結合，並且策略執行的成果能夠透過平衡計分卡的方式最後反映在企業組織的財務結果上，以提供之後改進的參考。在這裡採用的方法是先決定資訊安全的目標為何，然後了解商業目標的策略之後一起訂定相關的資訊安全策略。要達成資訊安全的目標，企業組織可以採取主動積極的做法或者是被動反應的做法。2類做法並沒有對或錯，只是像選擇晚餐的餐廳一樣，是根據當時的情況以及自己的需求喜好而做的選擇。以下我們先解釋這2種不同做法的目標。

被動反應

　　在被動反應(Reactive)的做法裡面，日常的企業營運與生存被放在最高優先，資訊安全的目標只要做到不要出事，或是事件發生時能夠盡快滅火避免損害擴大即可。在這個情況下通常資訊安全不像創新一樣被當作一個可以增加企業組織營運目標的特質，而只是以保護企業以及事件反應為目標。常見的目標可能是例如達到業界規範或是政府法規的要求為最低目標。

主動預防

　　在主動預防(Proactive)的做法中，資訊安全被認為是可以提升企業整體價值的一環，就像是高品質會帶來更多滿意的客戶一樣，資訊安全也成為了品質的一部份。在這個情況下，資訊安全不光需要企業主動去維護，同時還需要對於未來可能出現的新資安問題作了解，因此資訊安全的地位就相對提高許多，同時可以訂定的目標也就有很多不同的選擇。這些目標可以包括像製造安全性領先同業的產品（例如軟體）、提供安全的服務（例如網路銀行），或是更進而帶動促進整體產業的資訊安全。

　　在決定了企業所需要的資安目標之後，就是擬定相關的資訊安全策略，然後開始利用平衡計分卡規劃所需的執行細節。

策略與平衡計分卡

　　在策略的部分，這篇文章裡面將以被動反應的策略當作範例來探討。

　　前面提到被動反應的目標，通常都是為了達到最低資安標準要求，以及完成事件發生時的善後處理。那麼我們就用其中一個目標來看看要如何擬定策略與利用平衡計分卡來規劃執行。

　　首先針對所提到的目標「達到最低資安法規要求」，我們擬定的策略，可以了解業界所需遵循的資安法規與標準，並且以最低成本的方式執行。有了大概的策略之後，我們需要規劃一下如何從策略來達到擬定的目標。一個方法就是創造出相關的「故事」，假設自己身處的企業是個完美的情況之下，則最佳的情況會是如何。

　　我們以第一個目標「達到最低資安法規要求」來作為範例。試想一個所謂的完美企業，在這個企業裡面每個員工對公司所需要遵循的資安法規都完全的了解，並且對於那些法規跟自己業務相關程序所產生的影響都很清楚，同時也已經針對符合規範而修正了現行的標準作業流程，在這樣的情況下，企業會維持固定與極小的成本以定期達成符合法規的認證過程。同時也可以因為符合法規或規範要求獲得較高的顧客滿意度，最後直接反映在公司的年度財務報表上。當然這是一個假想的「完美企業」，現實的情況當然沒有那麼美好。但是在勾勒出我們如何實現目標的過程之中，我們可以一步步地定義要達成目標所需要的實際行動為何以及如何衡量目標。

　　在上面的描述裡，我們設想如何透過員工的學習、內部商務流程、客戶的滿意度以及企業財務方面串聯出要如何達成第一個策略性目標「達到最低資安法規要求」。接下來，我們就要根據平衡計分卡的4個面向分別來訂定所需的較細部執行計畫。

學習與成長

　　在內部學習與成長這個面向中，企業要做的事情是把企業內部的人力與資源準備好，將企業成長與個人能力和資源成長的目標相互結合。在這個情境裡面，我們的目標是每個員工都需要接受訓練，才能夠達到前面所敘述的資訊安全策略目標。從第一個目標「達到最低資安法規要求」來看，我們需要不同層次的人力，所有的員工都需要了解到不同的資安法規對每個員工以及企業組織的影響，這分為一般所執行的資訊安全認知教育 (Security Awareness Training)，以及針對不同角色的員工施行的特殊教育。資訊安全認知教育就好像如果你要去參觀工廠，在入廠前都會先看一些教育短片了解工廠內所謂「工廠安全」需要注意的事項，然後還要戴上安全帽或是其他安全器材才能開始參觀的行程。在資訊安全的時代也是一樣，企業組織的員工也是整體資訊安全的一環，同樣需要施予相關的教育。這時我們就將學習與成長面向的第一個策略性目標，訂定為對所有員工施行資訊安全認知教育。

　　除了對所有員工執行的資訊安全認知教育以外，資訊安全教育也需要配合員工所在的單位跟業務歸屬而作出不同的專屬訓練內容。例如系統管理員與應用程式開發人員需要的教育，會更深入並且與他們的日常作業程序能夠互相配合。這個部分會跟下一個段落的內部流程相關。基本上企業需要更改現行的作業流程並加入資訊安全相關的內容，然後將這一部分的內容轉化為教育訓練的課程，提供給相關的人員學習。

內部流程

　　在上一篇文章裡面提到了內部流程這個面向關注的就是企業的創新流程、現存作業流程以及售後服務的相關流程。在我們所提到的完美企業裡面，必須要將資安法規的要求轉化成相關作業流程並且與目前現有的流程相結合。我們可以拿現今當紅的支付卡產業資料安全標準(PCI-DSS)來當範例。嚴格說起來PCI-DSS不是一個「法規」，因為訂定的組織不是政府。但是因為符合PCI規範也已成為當今多數企業會注意的一件事情，因此我們就利用這個當作範例。

　　首先第一步是要了解企業內部會被PCI規範涵蓋的內容。從自身企業的等級與類別以及每年的交易數量開始了解。之後要辨別企業處理信用卡交易的系統範圍，也就是要依照客戶購買流程與內部處理流程將所有相關的網路伺服器，應用程式等畫出一個系統範圍。同時也要注意是否有付款相關的獨立應用程式 (Payment Application)，以符合PA-DSS的要求。

　　接下來企業將被PCI規範涵蓋的系統與相關的流程定義清楚之後，就需要研究如何讓這些系統與流程符合PCI規範。根據不同的內容使用不同的措施，例如web應用程式的方面可以使用PCI定期弱點掃描的方式、原始碼弱點檢測的方式，或者是應用程式測試以及網頁應用程式防火牆。然後還有定期的網路滲透測試或是弱點檢測。這些為了達到規範要求而增加的內部流程需要與現行的作業流程配合。例如開發應用程式的時候就需要把安全檢測所要花的時間跟資源加進去，這時候就是所謂Secure SDLC進場的時刻。這一部分的流程需要經過訓練的員工來操作或者是藉由外包的方式來達成。因此員工的訓練結果就會跟內部流程的執行順利與否產生關聯。而這個流程結果的衡量方法就是在於所花費的財務成本以及追蹤每一季所找出來的問題多寡與內容。如果因為沒有符合規範或是發生資安事件而被罰錢等相關的財務損失就會反映在最終的財務面向。

客戶

　　在客戶面向中，以我們的「完美企業」模型來看，企業可以提出符合規範的證明讓客戶知道企業所生產的產品與提供的服務，都符合相關的資訊安全規範要求。接下來就是藉由現存的追蹤方式了解客戶的留存率、新客戶的增加率、客戶的滿意度與客戶獲利率（每個客戶平均帶進來的收入）是否有增高的趨勢；?另外適當的資安規範也有助於開拓新市場與新客戶，例如產品若達到Common Criteria/EAL認證就比較有機會受到政府客戶的青睞，或者是要進入歐洲市場前，也應該調查清楚歐洲市場關於使用者隱私權的相關法規。

財務

　　在財務方面，如前所述，為了達到資安法規的要求，在企業內部從員工的教育訓練與成長到內部商業流程的改變等等都需要付出一定的努力，這些努力會反映在公司的財務報表裡面。這些內容包括訓練員工的成本、新增或是改變企業流程的成本以及向客戶說明公司在資訊安全方面的努力所需要的行銷企劃成本。那麼可能的增加就是公司因為維持資訊安全規範要求，所能提高的業務銷售數字等相關財務方面的改變。

　　需要注意的事情是，在財務面向裡面，企業處於不同狀態時，針對資訊安全達成的財務影響目標也不同。例如企業處於成長狀態時，不斷有新的員工與新的業務產生，這時候也需要在資訊安全方面花下比較多的成本建立一個穩固的基礎。當企業從成長進入穩定期的時候，企業需要注意的就是控制資訊安全方面的花費並且維持穩定的程度。到了企業要尋求出路改變的時候（例如要被併購），可能資訊安全方面的花費又會上升，以確保整個過程可以用最少的花費達到最大的效益。

結論

　　在這篇文章裡面，我們替一個設想的企業擬定了資訊安全相關的目標並且指定策略。在指定策略之後我們依照了平衡計分卡的4個面向來鋪陳，達到目標所需要經過的歷程以及需要的衡量標準。讀者從這個流程可以了解到，平衡計分卡是一個輔助策略思考與執行的工具，並不是改變現有的資訊安全狀態。實際的目標、策略與執行細節還是需要每個企業的領導人在全盤了解相關性之後，利用平衡計分卡提供的4個面向作出適當的詳細計畫，將執行的過程與最後的財務結果互相結合，才能夠把資訊安全方面的投資報酬率發揮到最大效益。