https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

資訊安全風險管理的6大盲點

2009 / 07 / 30
歐弘詹
資訊安全風險管理的6大盲點
舊世界裡的人相信所有的天鵝都是白色的,直到發現澳洲並看到第一隻黑天鵝。對於一些鳥類學家而言,也許是有趣的意外,但這個故事的意義不在於此。從這個故事顯示,我們從觀察或經驗所學到的東西有嚴重的侷限。-摘錄<黑天鵝效應>

  良好的風險管理對於企業取得長期穩定的成功至關重要,尤其是駭客入侵、社交工程、網頁掛馬、電腦病毒、資料外洩等資安威脅與日劇增。風險管理可以協助企業避免資源浪費與損失,防止組織商譽或形象遭受損害,甚至可改進營運作業流程提高作業效能並達到績效衡量管理等效益。雖然如此,風險管理也不是絕對有效的萬靈丹,企業即使是擁有一流的風險管理,仍然可能會發生危害企業的資訊安全事件,畢竟未知的風險難以評估,更甚者風險管理本身也存在著許多盲點。以下,就資訊安全風險管理6大盲點做說明:

盲點1 太依賴歷史資料

  通常,評估風險是根據過去的資料,推斷特定風險事件未來發生的機率,然而這並非完全可行,例如:發生「史無前例」的事件就無法評估,而且許多資安事件的發生,對企業而言都是「史無前例」的案件,若有前車之鑑,企業多半會記取教訓而加以防範,為了應付這種盲點,只能多汲取別人的經驗教訓,而管理者只能祈求運氣好些不要讓自己成為別人汲取經驗的對象。

  再者,計算風險時,評估事件發生的機率會依取樣方式、時間與週期不同而有不一樣的結果,假如你是資安風險管理者,需要評估電腦病毒對企業每年所產生的可能傷害,於是你必須蒐集:
1. 電腦病毒事件發生的機率→每年電腦病毒發生的次數(a)
2. 每次電腦病毒所造成的傷害(b)
3. 把(a)*(b)可以得到你想要的結果

  問題來了,每年電腦病毒發生的次數(a)如何取樣?你是要用企業內部的電腦中毒歷史資料還是參考外部的?有些企業根本沒有內部統計資料,而外部的要用什麼樣的資料當指標?你要用的歷史資料是以最近1年、還是5年、10年的平均資料?算起來也可能不太一樣;至於每次電腦病毒所造成的傷害(b),有將可量化的金額損失及不可量化的企業形象傷害都考慮進去嗎?不同的計算方式都會產生不同的結果。

  值得一提的是根據國際資訊安全標準ISO27001的本文4.2.1要求「風險評鑑方法應確保風險評鑑產生可比較與可再產生的結果」。若要吹毛求疵,一個有經驗的稽核員永遠可以找到其中的破綻;幸運的是,大部份的稽核員比較關注於組織的主要風險是否己被識別出來。我認為風險評鑑的結果只能產生「相對」可比較與可再產生的結果,難以達到「絕對」可比較與可再產生的結果,這是因為資訊安全風險評估並不是純「定量評估」,是含有「定性評估」的成份存在,甚至定性的成份還比定量的成份多一點。

  在1995年以前,全世界的電腦病毒總數加起來不過100隻,然而現在每季都會發現數十萬計的惡意程式;今日拜電腦與網路之賜及USB隨身碟應用普及化,企業機密資料外洩在彈指之間。總之,我們不得不承認一個麻煩的事實,過去幾年的資訊及網路技術發展速度之快,伴隨而來的資安威脅成倍數成長,以歷史資料預測風險變得愈來愈不可靠。

盲點2 只著重狹隘的指標

  風險評估時採用什麼資料,只不過是問題的一部份。某些實際用來監測風險的指標,也可能讓你忽略應留意的風險。資訊安全管理「有效性量測表」是為了衡量資訊安全管理是否適當與有效,其中,我們可以檢視資安管理審查會議記錄來衡量組織是否落實「資訊安全政策週期性審查」。換言之,藉由管審會召開的次數,確認符合有效性量測指標。然而,企業若只是著重於管審會召開的次數是否符合量測指標,卻未去討論資訊安全政策是否符合實際需求,那就變成捨本逐末了。

  此外,我們常利用3種指標來評估資訊資產價值,也就是以機密性、完整性與可用性的喪失對企業造成的衝擊程度,來評估資產的重要性,在鑑別出資產價值後,接著識別資產所面臨的各項威脅與存在的弱點,進而計算出資產的風險等級。然而實際作業面,在某些特定的情況下,客戶或使用者的可鑑別性與交易的不可否認性的重要性大增,此時受限於風險評鑑的方法論或指標的設計而無法顯現出效果。

盲點3 忽略可知的風險

  某個單位,為了防止資訊人員知悉太多內部機密,因此將資訊業務委外;另一個單位是不想面對複雜的系統或資料外洩管理事宜,便將業務委外,以為與外部廠商簽立保密合約就可萬無一失;還有一個案例是筆者曾發現一台伺服器存在許多弱點,於是通知權責主管進行處理,然而得到該主管的回覆是能維護該系統的人已離職,目前無人可維護系統,只能維持現狀,甚至連安裝系統修補都不行,進一步詢問之下,也沒有服務移轉計畫。上述的結果當可以預期,這些是駝鳥心態,忽略了可知的風險,只要管理者稍加用心,都可以發現不恰當之處。

盲點4 忽略隱藏的風險

  風險管理者即使盡全力測量並掌握風險,還是可能功虧一簣,因為有些風險經辦人員根本未據實以報,推測可能原因是累積了以前的包袱、風險難以處理、暫時想不出因應對策、不想造成上級的壓力與困擾,或擔心表現會被打折扣而影響考績等,然而,此時風險就會被低估。

盲點5 溝通不良

  筆者發現許多經辦人員都清楚組織的問題與風險,但瞭解風險的高階主管卻為數不多,問題在於精通技術的人員不知如何向不懂技術面的高階主管報告。此外,在某些情況下,資訊透過管理鏈向上層層稟報,重要資訊除了冒著會被過濾的考驗外,也可能發生溝通上的誤解,到了高階主管手上已嚴重遲延或扭曲。總而言之,風險管理者如何以淺顯易懂的語言向高階主管適當解釋各種複雜的風險管理報告是一項挑戰。

盲點6 未即時管理

  環境不斷地在變化,威脅與弱點持續的消長,風險管理是一個動態的過程,管理者有責任確保組織只承擔本身願意承擔的風險,因此,必須持續不斷地監督、防範、減輕組織已知風險。舉例而言,當發現知名惡意軟體正在世界各處肆虐、擴大與蔓延,風險管理者要能即時將風險通知相關人員因應。

  風險管理的迷思有些人認為沒有正式的風險評鑑程序或高深的方法論就稱不上有風險管理,其實這是一種迷思。事實上,在企業中沒有風險評鑑程序而能做好資安風險防禦的也不在少數,例如:99%的網路攻擊是利用已知的系統安全漏洞,企業只要落實移除不需要的資訊服務、維持最新的系統安全修補、實施嚴謹的密碼保護、不開啟來路不明的檔案,即使沒有風險評鑑程序亦可應付太多數的網路攻擊事件。若說建立風險評鑑匡架,是以系統化的方式管理風險,而參考CSI/FBI的調查報告,針對世界上常發生的資安事件,逐一去拆解、避免與防禦,可算是另類的管理哲學。

結語

  每日筆者都會參考氣象預測決定穿著的保暖程度,雖然氣象預測並不十分精確,然而遠比丟銅版決定來得好,事實上,參考氣象預測讓我減少許多受風寒侵害的機會。換個方面來說,風險管理雖然存在有許多難以克服的盲點而影響其有效性與可靠性,但我認為企業仍需重視風險管理,並充分涵蓋各種工作。

  在快速變動的時代,連號稱永遠都不會倒的金融機構花旗銀行與AIG(美國國際集團)等都出現問題後,印證了一句名言:「任何事件都可能會發生。」愈是變動的年代,風險管理愈顯重要。知名企業家郭台銘要大家「忘掉過去的經驗,做好基本功,走務實路線,即使是滿手爛牌也要認真打。」我想風險管理者的思考模式也應如此, 在有限的資源下,盡可能為組織做好萬全準備,以應付各種事件及難題。

如何提高風險管理的效用

  許多人以為,如果不確切知道風險為何,就無法管理風險。但其實並非如此,我們還是可以運用一些方法來加以管理。

  早期台灣金融市場還沒開放指數期貨時,投資人為了確保手中的持股與大盤漲跌幅同步,因此買進所謂的一籃子股票,就不怕大盤漲了,結果手中的股票反而跌了。風險管理也是如此,雖無法預知每項風險,但可藉由一些措施,令風險朝預期方向發展,以下為風險管理4大策略:

1. 避免:避免涉入於風險之中,如:使用正版軟體,防止侵犯智慧財產權。

2. 轉移:將風險轉嫁其它組織。如:火災保險。

3. 降低:藉由實施風險管理措施來降低事件發生的機率或傷害。如:安裝防毒軟體和防火牆來抵禦電腦病毒與駭客入侵。

4. 接受:有些風險因為發生機率極低,而變得無關緊要,組織因此接受它;另一種情形是因為處理風險的成本與風險可能造成的傷害相比較之後發現不符合成本效益,因而接受風險。

  風險管理者主要任務除了管理風險至組織可接受的程度外,許多風險是不必要且可以被避免的,儘可能將這些事項找出來並予以處理。

發展營運持續計畫

  想要有效管理風險,就必須正確判斷相關資料與指標,清楚了解各個環境變動,同時把這些事項妥善地傳達給相關人士,然而,即使準備妥當,也難保資安事件不會發生。管理者應該規劃一些策略來度過那些可能的風險,例如:進行業務衝擊分析,以釐清組織關鍵業務,並依此發展緊急應變計畫或災害復原程序,定期演練以確保災害復原程序能夠符合目前組織的持續營運管理目標及作業環境,並保證在惡劣的環境下能夠及時地回復電腦系統,以便災害萬一不幸發生時能夠應對得當。所謂:「不恃災害之不來,恃我有以待之。」