如果你從小就喜歡摸電腦、習慣到光華商場採購電腦零件組裝的話,一定熟悉「技嘉」這一主機版老字號,說不定這塊招牌已經默默伴著你升級、汰舊不知道多少部電腦。這家本土著重研發能力的高科技公司,由1986年小型的實驗室,蛻變為3000多人的大型企業,產品線擴充至11種品項,客戶遍及歐美、亞太及中國市場,正值弱冠之年的技嘉,在穩健經營、擴充企業藍圖之外,為什麼將資安管理納入營運的考量要項、如何upgrade體制內的控管、全面掌控企業IT維運可能面臨的風險、進而協助企業達成既定目標?
為資安觀念打底 大概在幾年前,風險管理的觀念吹入台灣企業,那時候差不多也是台灣網路發展邁入成熟的階段,訊息傳播的管道趨於多元快速,比較敏銳的企業漸漸地會看到網路威脅及資安事件對企業維運的衝擊,甚至發現同業或競爭對手正進行同樣的動作-資訊安全管理-著手內部IT治理,試圖降低新技術對企業形成的風險,技嘉也在這樣的時空背景下,開始注意資安和企業永續經營的關係。
這段時間技嘉也意識到資安工作的重要,但如何從零開始,跨出第一步呢?資訊部副處長孫國仁表示,首先,他們從那些具備Intel和Cisco等IT大廠整合資歷的系統整合廠商,知悉跨國企業資安管理思維,從中獲得不少寶貴的經驗,歷經兩年跌跌撞撞摸索的日子,終於發展出一套適於技嘉資安管理的雛型。回歸IT在企業裡的定位,協助企業有效地達成年度目標績效,因此IT建置產生的風險必須接受管控,以舒緩風險衝擊企業的力道並拿出應變方案。執行面上,資安工作不能做得過頭,重點是要降低風險而非影響公司營運。孫國仁表示,老闆要的不是固若金湯的城牆,同事也不可能忍受斷水斷電般的資安管理,員工能夠理解公司長期維運的考量,諒解工作中局部的不便已是萬幸。
營運與IT對等談話 資安工作為合於企業營運目標,IT部門將針對資安IT建置費用對應資安風險程度畫出兩道曲線,經高層經營會議商討,兩道曲線交錯產出可接受區塊,決定技嘉於區塊內的坐落點,最後營運長和資訊長再對照公司的經營策略進行聚焦,共同主持風險評估會議,檢視公司營運及IT運轉產生的風險,訂出各項資訊資產SLA的等級和容忍業務中斷的底限,明訂出資訊安全風險評估,最後交由IT部門作為執行目標的方針。
企業無論想做好資訊建置或資安,都需要高層的支持與協助,並於高層的決策會議,為IT建置進行長遠規劃。有了這份體悟,2004年技嘉增設策略資訊長,相較過去,資訊部門最高主管只到處級主管,難以對企業營運策略提供最佳建議的情況,資訊長的存在確實消彌營運目標與IT間運轉的落差,增加IT部門在企業決策面的參與。有趣的是,既然有實作資安,為什麼不增設資訊安全長,專責資安治理的工作?孫國仁解釋,很多公司依循媒體報導與IT整合廠商的市場指標亦步亦趨,看現在資安問題發展到哪一階段就跟著做,絕對無法抓出深藏企業資訊架構裡的bugs(漏洞),這才是公司營運最急迫需要的!台灣的電子公司常因快速崛起,發展過於迅速,可能藏有這樣的問題,若求根治,得從公司的策略面與管理面去著手。不過,高科技產業的老闆大多具技術背景,投注研發部門願意非常高,其他經營面向的考慮多以經營獲利為重心,不然就是清楚應該怎麼做,但是觀念和執行到位都需要一段時間熟成,這段時間內,太快發展這份高層位階,不一定有利於企業資安工作長期的佈署。
資安建置的考量 雖未設立專責資安主管,但技嘉IT部門一直以來,持續專注IT運作的安全性。去年技嘉在IT的花費頗高,其中一項重點工作在無線網路環境的安控,他們利用自家無線網路產品建置約80~90個AP,在這些設備配合無線網路閘道型安全產品,要求使用者只要登入無線環境,就要先經過認證,然後根據認證身分授予資源使用權限,杜絕訪客接觸企業核心系統。公司網通研發部門在技術及產品特性的熟悉度遠高於IT部門,因此在產品挑選上,主動提供IT部門一些技術或產品採購的建議。通常年度資安預算約佔技嘉年度IT預算的6%以上,IT部門在手頭握有資源有限的考量下,除了一邊向公司相關單位爭取預算外,設備採購上傾向與策略合作夥伴共創雙贏。而2006年,他們的IT策略著重於各事業群資源的整合與連結,這一部份將以可用性與可靠性作為資安考量。
設備就如同企業資安防護的盔甲,但今日網路威脅不斷地演進,孫國仁認為市面上缺乏有效整合資安問題的解決方案,這些廠商提供的設備通常僅專長於某一部分的分析,提供的解決方案也非常侷促。如病毒與系統漏洞,除非已被偵察公佈,企業唯一能做的就是定期更新病毒及弱點漏洞資訊與偵查內外部活動,並定期更
新網站專欄、軟體更新與資安管制法則自動派送、於內網發佈檢查漏洞的工具等,儘管如此,企業仍舊很難完全防堵潛伏的每一個漏洞,成熟的解決方案出現前,宣達正確資安觀念是不二法門,目前他們將觀念以淺顯方式轉為e-Learning課程,鼓勵員工學習基本觀念入門與進階觀念進修,也就是說要實做管理,教育訓練是建立員工資安認知最前線的工作。
隨市場的成熟,這一兩年,不少大型企業開始導入內容管理產品,針對這點孫國仁表示,這可以分為兩個方面來說明:在信件內容管理部份,技嘉3年前已經建置郵件管理產品,目前處理的情況雖未臻完美百分百,但在可接受的範圍,因此並未考慮添購其他產品,其一,就業務面來看,難以根據信件內容,判別是否為非友善信件,舉例來說,技嘉因經營自有品牌,客戶群十分分散且分布各行各業,難以針對特殊寄件地址或是字彙內容進行過濾,設定過於嚴謹的郵件政策。目前僅以側錄方式監看信件的發送行為及夾檔類型,如疑似智慧財產相關的檔案格式(CAD/CAM format),將特別管控寄件及收件成員。其二,通常研發部門人員技術能力更甚IT部門,防多管多不一定能收實效,反而造成企業效率下降,評估過後,因新增效益不大而放棄。不過為了保護企業核心資訊資產-財務資料、法務資料、契約資料、客戶資料與智財權,他們在內容上還是做了一些的安全管理要求,最簡單來說包括密碼管理、禁用非法程式清單、重要文件限定固定存取位置與兩道認證手續等,在研發資料的要求上,資料的變更、修改乃至於取用功能則採取更嚴格的管制。另外於內容瀏覽方面,技嘉在重要資料設備上設定傳輸埠管理與稽查通知軟體,只要出現問題,第一時間關閉問題埠的服務,同時也協助相關存取部門進行實際訪查與問題排除。至於廠商近期用力推廣的「端點安全」,孫國仁認為現階段成本與效益比仍不佳,加上尚有改善空間,因此目前尚處觀望階段。
911事件帶來的震撼,提高各國在安全上的意識及對「永續經營」議題的關切。企業在資訊安全上的控制措施包括異地備援、業務持續營運計畫、災難復原等,不過,企業究竟在投資及要求上要做到什麼樣的程度呢?技嘉在台灣921時,就驚覺這一層作業的風險與不足,開始強化異地備援計劃工作,不過當初異地備援還沒有做到即時,僅由公司內部傳輸備援資料。至於儲存內容應如何保護呢?孫國仁表示,這些資料從出生、變更、保存到銷毀使用的介面都是技嘉自行研發的平台,加上資料與程式不同備援作業的差異,並不擔心因磁帶遺失或損毀,造成重要資訊外流的情況。不過,在備援儲存管理的問題上,他表示公司使用的SAN架構因異質儲存未如預期,實際使用仍與規劃有小部分有落差。近期孫國仁曾經考慮導入ILM,但考量在異質作業環境上的整合必須先花一筆費用,加上ILM系統是否已經完全成熟,這部份投資的必要性仍在觀望。
產品選用原則 在有限資源下,孫國仁用「堪用」與「投資效益比明顯且費用可負擔」兩項原則務實地道出企業資安設備挑選上的難為,究竟他們如何找出產品好用、價格便宜大碗的設備呢?舉防毒產品來說,依技嘉的環境他們認為兩家防毒公司產品搭配使用遠比使用單一產品的效果佳,再者,今日各家產品效能與服務的差異並不顯著,因此,價格優勢直接影響產品挑選。在去年無線網路安全閘道器的挑選上,通過技嘉實測環境,價格可負擔的條件下,自動篩選出結論。其中不乏RD推薦,因為這些多在他們的專業範疇內,加上產品都是自己開發出來的,無論技術或產品的熟悉度都領先資訊部門,研發部門儼然成為技嘉IT部門最佳技術顧問團隊。
結論 企業對資安工作最大的迷思就是「買設備,解決問題」,高層主管常認為只要花了錢,所有問題就能一勞永役,其實資安工作強調的是「持續改善」。因此面對資訊風險,企業必須不斷地學習最新的威脅趨勢與技術發展,規劃並持續地管控企業的弱點,企業有心掌握資安風險,最好有一名責任人員緊抓主管的胃口,藉由效益、數字分析等方式向上傳遞正確的觀念,甚至釋放同業或競爭對手的消息,吸引高層主管的注意,並借新聞事件提供資訊安全與企業永續經營的觀念,增加老闆這方面的觀念。從技嘉的例子可以看到,台灣高科技業由實務執行面看資安風險,並讓資訊長、風險長兩者協調共識,明訂出資訊安全風險評估,讓資訊安全管理標準設定符合公司經營方針,設在可被接受的風險範疇內,然後實實在在地做,安全與便利一樣可以成功地並肩而行。
技嘉資安管理工作要點
1. 首先從那些具備Intel和Cisco等IT大廠整合資歷的系統整合廠商,知悉跨國企業資安管理思維,從中獲得不少寶貴的經驗。
2. 資安工作不能做得過頭,重點是要降低風險而非影響公司營運。員工如能夠理解公司長期維運的考量,諒解工作中局部的不便已是萬幸。
3. 增設策略資訊長,相較過去,資訊部門最高主管只到處級主管,難以對企業營運策略提供最佳建議的情況,資訊長的存在確實消彌營運目標與IT間運轉的落差,增加IT部門在企業決策面的參與。
4. 研發部門在技術及產品特性的熟悉度遠高於IT部門,因此在產品挑選上,主動提供IT部門一些技術或產品採購的建議,儼然成為技嘉IT部門最佳技術顧問團隊。
5. 企業仍舊很難防堵潛伏的每一個漏洞,成熟的解決方案出現前,宣達正確資安觀念是不二法門,目前他們將觀念以淺顯方式轉為e-Learning課程,鼓勵員工學習基本觀念入門與進階觀念進修。 |