https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

專訪新光金控CISO呂孟玲-打下管理基礎,先做教育

2009 / 08 / 25
王婷儀
專訪新光金控CISO呂孟玲-打下管理基礎,先做教育
一抹浮雲輕輕地從七星山的山巒飄過,一架飛機正從右下方的視線裡緩緩爬升,雖然天空的顏色不大透明,但層次分明色塊有梵谷筆下堆疊的意境。忙碌的工作裡,偶而視線停留在窗隅的變幻萬千,須臾片刻原本肩膀緊繃的線條也放鬆了不少。

  新光金控資訊安全官(CISO)呂孟玲繁重的工作之餘,喜歡善用片刻小憩,望著窗外舒緩工作的疲憊。位於39樓的辦公室成立已經有1年多了,談到跨入新光的情況,她發現當時這裡的環境以人壽為主體,因此對資訊的重要性和安全性起步較其他同質性企業來得晚。舉例來說,通常壽險手頭握有最機敏的資訊就是一紙保單,不外乎理賠資料、死亡金額、健康情況、保險金額等,要大筆取得這些資料不易,員工最多只能販賣單一個人資料獲利,內部也就不會有人討論資安議題。再者,這裡穩定性之高,每年離職率大約只有2%,大家幾乎一輩子當同事,彼此相互信賴的前提下,自然無從聯想機敏資料的保護議題,公司在資安上的建設也較為薄弱。內部也不了解目前大環境,更別說應付外界日新月異的威脅,及安全上應有的考量項目。

  新光的金融整併在2001年,為防範企業整併的間隙不為有心人利用,同步安全性是當務之急,在基礎工作的建置上,很多人建議她要開始著手專案工作,呂孟玲認為花錢買工具的確可以在最短的時間內看到成效,但她心底清楚唯有提高用戶端的認知,並對高階層宣導企業操作的風險,讓內部安全的文化成形,安全才可長可久。但另一方面考量,雖然建立機制非常急迫,但操之過急反而有可能破壞員工與公司的信任模式;因此,就管理者的角度來看,她認為信任也是一種安全文化,如何讓制度融入現有文化,才是目前工作中最大的挑戰。

定位資安部門

  初進入公司,大家不是那麼了解什麼是CISO,不知道她究竟來公司做什麼?金控的高級主管甚至找來新光保全的同事與她開會,呂孟玲笑談這段令她啼笑皆非的過去。論及工作定位,她認為CISO的工作就像守門員,必須告訴老闆公司目前正面臨的風險、漏洞在哪裡、建議如何排除,即使工作的急迫性不一定要排在最高順位,但至少要讓高階主管清楚他的任務、人力夠不夠、不要讓老闆在事件發生後訝異地問她為什麼會這樣。

  資訊安全部門在公司的定位一向令人困惑,就員工來說,她認為資訊安全部門很像顧問,除了找出問題提供意見,最主要的工作就是為企業規劃3~5年的大架構,再讓各單位針對業務擬定細則去執行。除此之外,她還會利用機會行銷資訊安全部門,讓他們了解這個部門的功能,當需要協助或發生問題時,樂於提出來,共同商討對公司最有利的辦法。

溝通讓觀念深植

從經營面提供高階主管訊息

  身為金控CISO一定要了解老板的語言,什麼樣的話他們聽得進去,絕對不是滔滔不絕地說明設備、講解技術,就呂孟玲的經驗,提供高階主管資訊安全的建議時,最好從法規面切入並輔以新聞時事。舉例來說,委外廠商的挑選上,錢絕不是唯一的考量,必須在運作及控管上也要同步要求,若不幸重蹈某銀行覆轍,將A客戶資料寄給B客戶,下次佔據報紙版面的新聞可能就是他們;不但罰款、公佈名字、記缺失外,長久經營的名譽也要毀之一旦。她希望主管們能夠明白,企業應該主動地預防問題的發生(降低風險),而非被動地等問題上門,再設法解決。

讓資安與同事發生關係

  為了改善同事電腦的使用習慣,除了做一些系統面的控制,阻擋不允許的行為外,呂孟玲試圖說明做好資安對他們工作上的幫助。比方說,利用機會告訴員工存在的安全性漏洞,並理性地分析疏失的下場─可能中毒,被記缺失、然後拿到警告,為工作效益帶來負面評價。針對業務,她就會利用北、中、南大區的會議宣導資訊安全相關的法規及利益連結。針對專業主題上,每月也會安排一次資安教育訓練,每次2~3小時,開放各部門牽涉議題的人員參與。最終目標就是更正使用者對資訊安全上的觀念。不要讓資訊安全侷限於數位資訊,應該要走出資訊室,資安跟總務、財務的訊息也有關。舉例來說,印壞的財務報表應該放哪?多數員工的答案竟是廢紙箱,類似這樣令人冒冷汗的處理方式正是她要努力改變的,資安問題絕對不是只有數位資訊才有。目前員工已經慢慢接受觀念,令人感到欣慰的是,保險行銷或行政單位在流程、協力廠商溝通、委外工作等,都開始和她討論應注意哪些資安問題。

資源整合

  除了觀念的澄清,呂孟玲認為資訊架構的整合也很重要,尤其是目前內部採購的工具軟體,只使用最基本的小功能。比如說,之前添購的資產管理工具,因為使用上的問題,最後擱置一旁,類似狀況重複的發生,她認為未來應該要整合這些資源,所以要求廠商整合現有設備,再加購其他功能項目,甚至列出需求,由內部資訊人員負責開發。再者,各部門在資訊設備的添購上,可以知會資訊部門統籌購買,這也是金控成立最大的優勢─節省金錢、而且效益更經濟。

結語

  要避免員工哪些行為發生,就必須建立這些項目的觀念─作好資安就是保障自己的權益,而不是為了公司。雖然教育訓練要看到成效比較費時,不過卻能從心態上,根本地導正員工行為。