讓「預防」策略降低資安風險

IT設備的建置、各項專案的規劃等，皆需做好事前規劃，以降低後續可能衍生的問題發生。

　　從踏入資安這個領域開始，每天都會收到各式各樣與資安有關的電子郵件，也許是未來趨勢的分析，或是產品修補程式的資訊。即便如此，還有許多需要定時瀏覽的網站，甚至是產業動態，都要花時間去關心。有人會問，你哪有那麼多時間去看這些文件，甚至還建議不要花時間去訂閱這些網站資料。其實這些訊息，都是和處理資安事件有關。資安事件，不僅是等到事情發生了之後，再來做亡羊補牢的動作。就好像我們要打流感疫苗、要勤洗手、多補充維他命C，以防止感冒的道理是一樣的。預防勝於治療，同樣的原理，也是可以用在資安上面。

資安工作需防範於未然

　　從控制的角度來看，今天不論我們架設防火牆，或是實施權限控管，都是為了防止某些會影響組織業務的事件發生，以便降低風險。就控制而言，又可以分成3類，預防性控制(Preventive Controls)、偵測性控制(Detective Controls)，以及矯正性控制(Corrective Controls)，所謂預防性控制，就是在事件尚未發生以前，所事先採取的一些行動。舉例而言，定期舉辦員工教育訓練，就是要提高大家的認知程度，以免在不知情的狀況下導致資安事件發生。你不能因為沒有事件發生，就不舉行教育訓練，或是流於形式的簽到留記錄，像教育訓練就是屬於預防措施的一種；同樣的例子，譬如說新進人員徵試的時候，要考量應徵者過去是否有相關的經驗
以符合工作上的需要，以及在過去服務的單位是否有發生違反保密義務的行為，或是權責分工，負責程式開發的人員，就不可以自行去執行資料修改。甚至對於敏感性的資料，需要使用權限控管軟體，限制人員的使用，這些都是屬於預防性控制的一種。

　　同樣的道理，對於資訊安全作業而言，不光僅是要建立上述預防性控制的相關制度而已，就資安講的預防措施，包括新科技對組織的影響，或是對組織所產生新的風險。舉個例子來說，某家廠商最近公佈了最新的產品修補程式，對於一個資安人員而言，接下來需要考量的，就是所屬單位有沒有使用到相同的產品，如果有使用到的話，那需不需要更新修補程式，或是還有其他作業需要一併配合處理的。如果要更新修補程式，會不會新版的修補程式和原有的應用系統程式不相容，如果要修改應用程式大概需要多久的時間。或者是原先舊有的漏洞，在修補程式還沒出來之前，可以加強那些現有的控管機制，這些作業都是屬於預防措施的一項。再舉個例子，今天新採購的一台伺服器，不是下了採購單，然後廠商把機器送來就結案了事，這台新的伺服器，需要安裝那些軟體，會和那些業務有關，有那些伺服器和這台新的機器相連結，需不需要調整防火牆，甚至安裝在那一個機櫃，這些都是屬於預防措施的一部份。不要以為全部都交給廠商處理就沒事了，有很多事是廠商沒辦法處理的，以前面的例子而言，不要小看放在那個機櫃這件事，我們經常會看到新機器一來，看到有機櫃空了就放上去，結果沒有考量到供電的問題，因為電力無法
負荷造成跳電，或是沒考量到散熱的問題，結果機器裝好了，卻造成機房溫度上升。不要覺得訝異，許多單位到最後的解決方案就是在機櫃前面再拉了一條延長線，然後又買了兩台電風扇算解決問題，而沒有回過頭去思考，從根本解決問題，由此可知預防作業是資安工作相當重要的一部分。

PDCA 首重事前「Plan」階段

　　另外就ISMS的觀點而言，很多顧問都會談到PDCA的循環，然後把條文中第幾條到第幾條歸在計劃類，這樣就算是對PDCA循環有所交待。事實上PDCA的循環絕對不是只有年度訂一個計劃，然後全年度開了幾次管理審查會議，或是年度進行的一兩次的內稽就算是有執行。PDCA循環中的P，其實就是預防作業的延伸，每一個專案都是一個PDCA的循環，而專案的定義，也不是一定要超過多少金額，或是投入多少人天的才算是專案，即便像前述修補程式的更新，或是新採購一台伺服器，都是需要事先計劃，在計劃的過程中，要盡可能得把各種狀況都納入考量，然後依照計畫來執行，並且依照原先所規劃的，追蹤進度並加以檢核，一旦有發現偏離的現象，就要開始研議後續行動，而後續行動，往往又是另外一個計劃的開始，PDCA的循環，應該是一個動態的循環，而不是禁止不動的。

　　那麼如果組織當中，都沒有任何新的專案在執行，是不是這部分就可以省略？沒有新的業務，並不是表示就不用從原有的業務中加以調整。舉例來說過去的異常事件或是資安通報，都是很好的資訊來源。這些異常事件中，是否有共同發生的原因，嘗試找出問題的根源，進而找出其他解決方案。這次異常事件說明的原因是硬體的容量不夠，另外一次的解釋是沒有確實執行清檔作業，兩件事件真的是全然沒有任何關連，或是根本沒有執行容量規劃作業，還是容量規劃作業根本沒有考慮到業務的成長，這不是單一事件可以看出端倪的，一定要將累積的資料，重新分類整理，找出可能發生的原因，再列出改善計畫，無疑的這又是另外一件預防措施的開始，由此可知預防作業在資訊安全中所佔的重要性。

　　對於高階主管而言，很容易在出了資安事件以後，才開始想到資安人員，覺得資安人員只是在事後解決問題。從另一個角度，資安人員要能清楚的告訴主管，平日所執行的工作及目的，同時也是對於高階主管的一個機會教育，讓主管們知道，資訊安全不是只有做做書面文件，資安作業是需要投入許多的人力與時間在事前預防作業上。雖然執行了這些預防工作，並不表示不會有資安事件的發生，但如果沒有執行，相較之下一旦有資安事件發生時，一定對組織的影響會更大。要知道資安的作業絕對是一項無止息的工作，而每一項的預防措施，就是往前又跨了一步。