外部防護已成熟
新、舊系統有待考驗
談到這些年來中信的變化,中國信託資訊執行長張汝恬(RT)說,以現在的觀點來看,當年讓國外資安服務廠商進來輔導中信依然是對的,當時他們對中信的整個IT架構做了一個很大的分析。
那時中信已有80~90家的分行,因此就先挑選幾家具有代表性的大樓、幾個分點,納入到分析的範疇,把整個IT環境盡可能的從大樓、網路、設備等,都定出一個scope之後做分析。而主要就是進行兩大區塊:1.滲透測試-由廠商顧問擔任白帽駭客模擬駭客的攻擊。2.弱點掃描,從內部來看整個架構有什麼樣的弱點,其中也包括應用程式設計。
中信有很多系統的應用程式是多年前開發的,在幾年前整個環境是封閉式的網路,不管是它的寫法或語法來說,都不是問題,然而現在看起來卻存在著弱點,而這都與人的機能息息相關。直到今日中信依然與資安服務廠商有持續的合作關係。RT認為當時所做的重大制度,讓中信的程式、軟體都持續在一個風險分級的概念下執行。資安顧問會持續提供一些重要的資訊、patch,提醒需要修補的程式或軟體,並且依照風險分級劃分Tier1、Tier2…等,以此中信可以計畫性的做變更管理,讓系統更加穩定,並且釐清哪些漏洞要優先處理,哪些是可容忍的風險,以現有的防護設備阻擋即可。
拉抬資安層級
更符合現況的資安政策
RT認為,外部防護中信做得是還不錯的,現階段有比較多改善空間的在於資安政策。過去雖然有些程序跟原則,可是其實都不太敢把政策寫得太精準,這在實作上會有問題。她舉例密碼的設定原則,公司大可以規定八碼以上或是英數字混合,但有很多系統是多年前開發的,就只有四碼能夠設定,像ATM在晶片卡出現之前就只有四碼,所以今天中信面對的就是要先從小地方著手漸漸去強化,逐步將資安政策規範的更清晰。
從前可能有某主管看見某個風險,看一件事情就趕快做一件事情,資安的保護會因人而異而並非形成制度,台灣有些企業並不太善於制定政策,如何把眾人的共識轉變成政策,便是一個重要的議題。例如,過去帳務系統被認為是tier1的等級,現在定義也許不同了,但是應該要如何規範呢?如果有明確的資安等級,一旦新的系統進來就可以先從政策來看是屬於哪個等級,應該放在哪個區塊,給予相對等的資安保護,那麼如何設定以及成本計算也就自然會很清楚了。
另外一個進步,是中信拉高了資安委員會(Security Review Board)的層級,該組織是直接報告到作業風險層級,任何資安政策在各部門要如何落實、執行都會透過這個委員會形式的主管機構來形成一個機制,其中包含了資訊、人事、稽核、法務、事業單位、風控代表等,原來是只有在中國信託銀行體系裡建立,如今已經拉到金控的階層,並且會與金控的其他子公司進行意見交換、彼此分享。
法國興業銀行案例 促中信挑戰角色授權
近來中信還面臨到另外一個大挑戰-系統角色與權限的控管。在這一萬多人、三、四百個系統的銀行當中,每個系統使用者都有各自的帳號、密碼,中信的終極目標是希望可以依照角色授與適當的權限。而其實這些問題的重要性,中信是早就知道也逐步在做的,目前全行系統已有帳號的資料庫,哪些帳號可以存取哪些系統,已經有初步的掌握了,至於在系統裡面可以做到什麼樣的交易,正是目前正在努力的地方。
過去雖然了解到角色授權的重要性,但這做起來不僅需要跨部門、跨系統整合協調,也直接與組織架構、人員流程有關,並不是能夠輕易執行的一個計畫,過去雖然盡量從系統面做控制,卻依然無法從根本上去改變,而法國興業銀行的重大疏失案例,正是一個絕佳的機會。
作業風險委員會是中信內部最高層級的風險管理組織,主要是由董事長,帶領幾個大執行長在看全行的風控,作業風險委員會會要求風險控管團隊,若在市場上發現有重大的誤失或舞弊的案件,都要提報出來讓大家學習。而在2008年初,法國興業銀行爆發交易員逾越權限,以詐騙手段進行股價指數期貨交易,造成興業銀行49億歐元的虧損,這問題也引起中信的關注,當時在風險控管團隊蒐集資料,了解興業銀行發生事件的始末之後,各個功能別的同事主管們也都被要求,要回頭檢視中信是否有類似的問題?可會讓這樣的案例在中信發生?
藉由這樣高層級的組織,把安全的概念拉到風險控管的角度,透過主管交辦,針對每一個不同職權的單位來提出相對應的方法,以資安考量來思考,討論中信的系統裡是否還有漏洞,管理是否有不夠良善的地方,開始去進行這樣的分析,作好建議改善計畫往上提報,一旦批准就會進到預算的程序裡面去,也就開始逐步實施了。
掌握Hot Point爭取預算
一般來說預算的爭取是屬於自發性,由於本來就會有計畫,所以每年主管自然會提報計畫爭取預算,不過,資安要拿到預算是不容易的。過去,可能就是看到一個風險就提報,到了年底,行政管理單位可能會問你說有那麼急迫嗎?業務單位問說需要那麼貴嗎?最後可能是不了了之。
若想要加速進行,在中信有2個方法,一是要能提報到作業風險層級。每個部門對於風險要控管到什麼程度的看法不同,而她認為最有資格做決定的就是經營團隊。把重要的資安議題拿到經營委員會來討論,只要大家聽懂了,了解風險的問題,事情也就成案了,預算自然也就容易進來,旁人的阻力也就會變少了。
而成案之後,作業風險委員會進一步問是哪裡發生問題?如果要修改它的話需要花多少的努力?因此她的方法是先做一個小型的prototype當先鋒,讓經營團隊可以了解、預估實際要導入到整個系統,可能需要花多少的成本、人力等。另外一個管道,則依稽核所建議改善之處著手,自然有立場爭取預算。她說,要能夠掌握到那個Hot Point!資訊單位同仁才會有案子,會有成長、進步,資安也就會不斷的被強化。
形成prototype 複製成功經驗
在法國興業銀行的例子當中,中信決議內部系統權限應該有統一的規範,也就是要以角色為導向來進行系統的授權。這也是近期中信資訊人員所要面臨到最大的挑戰,也就是資訊系統的帳號要能夠跟所有授權能執行的交易進行整合,透過這個資本市場的案例去做統整,中信打算採用金融衍生商品的交易系統來試行,透過一個小型的prototype,來研究思考組織應該要怎麼改?需要多少IT人力支援?這提供了一個標準,讓經營委員會可以做出裁斷,以評估投資報酬。
相較於其他銀行存款、放款、客戶服務中心等系統比起來,金融衍生商品(註)交易系統是相對比較小的,大約10餘個系統,會使用到的單位同仁大概也只有上百人,是屬於比較小的區塊,在一萬多人的公司體系當中也算是少數,考慮到該系統可自成一個體系,所以就採用這樣的體系來研究試行,從系統老舊的觀念以及就組織人員異動的部份,來思考授權的管理,包括組織裡面到底誰在負責授權?包括從流程的角度來思考,每一個系統都是獨立的。RT說,今天如果有一個人要來申請後台系統權限,殊不知後來又來申請中台,但管理中台的人並不知道他有後台的權限,等到他上下其手,一旦他把中台、後台的事情都做完了,弊案也就可能發生了!
授權管理在組織裡面是一個很大的問題,現今仍有很多銀行仍做得不夠好,因為這牽涉架構太多也太複雜。每一個系統都有它自己的資安模組,但是從很多年以前直到現在,每個系統對人員的帳號、密碼,對交易系統的設定都是獨立的,都是各自不同的人在維護,一般來說,在中信通常都是20、30個人在管一個系統,那今天誰可以從一個制高點來看授權風險這件事情呢?今天組織裡面需要一個end to end的觀點來定義角色,看角色應該會碰到哪些系統?系統裡又要碰到哪幾種交易?從角色的扮演,到這個角色可以被授權做哪些事情,再依這樣的觀念來設定可執行工作的一個輪廓。
依角色給予授權的管理制度也是近年來才開始被重視,研究出從系統角度來說有什麼問題、缺陷?需要什麼工具來管理?從程序來考慮,授權跟程序文件該怎麼結合?由誰來決定程序?程序的審核也必須跨部門來進行,那到底誰來審?各部門經理要負什麼責任?等等有太多的問題需要去考慮。
實行方法論:組織、程序、程序結構、工具
這一個巨大的挑戰,目前在中信內部也有一個專門的團隊在執行,RT認為,過去中信已有多年與顧問合作的經驗,是時候讓同仁自己來發揮了,因此便決定由中信的同仁運用自己的方法論來實作,她甚至還認為,應該要讓更多的主管也順便進來學習。中國信託副總經理蔡滋森談到一些目前中信正在實行的方法論,將之分作4塊:第一、組織,系統剛上線時,通常是有專責人員在負責,前、中、後台權限,哪個角色可以做哪些系統是非常清楚的,但是經過三、五年後,後來的主管可能已經搞不清楚當初角色、權限是怎麼設定的,到底是要成立一個專責團隊還是要從customer cost團隊來控制呢?第二,考慮到程序上的規範,申請流程是否有落實在管理權限?誰可以取得權限?第三、系統結構,一個user是一個角色,一個角色又可以有多少權限?怎麼樣才是比較好的權限?設計出來的profile是否可以符合規範?第四、工具,看是不是有哪些工具可以快速的在系統裡看到有哪些user?user有哪些帳號?帳號裡有多少角色?角色裡面有多少權限?權限是否有重疊或互相牽制?不過目前還在尋找這樣的工具。
IT人的迷思 技術非重點
RT強調,要從業務觀點看角色,訂出角色之後再去看系統,並不是每個系統都能夠做到,因為會有其技術限制。但即使是這樣,也要去揭露風險,才會知道要怎樣去保護。她認為對於IT人員來說最困難的部份,是IT同事們比較不習慣作的事情,也就是一般顧問正在做的事情,思考組織、人力、人才、流程、授權等等的方法論。一般的IT人員是,如果你需要帳號,我就開帳號給你,你需要防火牆,我就幫你設定。然而這件案子最大的挑戰是必須思考組織,只要與人相關的問題,都是困難的。IT人員在企業的任務分工裡頭通常是在尾端負責執行,但在這類的案子裡面,突然變成一個帶領的頭,照理說應該有無限的權利,但往往都不敢用,這是需要很多業務單位來配合、支援的,若自身對於這些方法論,對整體架構沒有清楚的思維,不夠扎實的話就很容易會被挑戰。有時可能要在不同的組織架構下威脅利誘,想盡辦法去說服別人,而這時候已經不是一個單純的技術設定問題了。她認為,通常比較老化、沒有進步的組織,就會一直都在技術上面打轉,沒有辦法進步到管理層面來看什麼叫做資訊安全,技術到了最後往往都是最小的部份,最重要的其實是人、結構,是程序的問題。
預期效益
運用角色授權的系統管理並不是簡單的事情,從風險管理的角度去思考資安防護所帶來的價值,從而去實行,運用方法論思考組織與人、流程的架構,透過一個國際案例所帶出來的訊息,中信更加堅定相信之前所做的努力,所訂定的方向是正確的,中信預計從這個上百人使用的小型系統作出一個標準的prototype,並且複製成功經驗至全行,儘管不容易,但他們已經領先跨出這一步。
註:衍生性金融商品是一種特殊類別買賣的金融工具統稱。對此類金融工具進行買賣投資者需要十分謹慎,因為由其引起的損失有可能大於投資者最初投放於其中的資金。
張汝恬的管理經驗
任何組織的設計跟建立都有邏輯與人的因素在裡面,世界上沒有一個最好的組織,所有的組織都會因應它的需要而變化。大約五、六年前,就先將資訊同仁
分派至事業單位,而下一步就是讓業務單位主管打IT人員考績。如同絕大多數的企業,中信的資訊人員原先是集中在資訊部門控管的,不過,RT決定要讓IT更貼近業務前端,更是首創資訊部門主管讓業務單位打考績,要以事業單位、客戶導向,每當年終打考績時,就會尊重個金、法金、信金三大事業處長的意見,既然要討論客戶導向,就要多聽聽業務單位對這個同仁的批評。
組織的設計一定是跟著公司的目標去走,就在三年多以前中信進行了改組,將資訊單位切開來到事業單位去,前端業務導向的服務跟知識的累積就可達到極大化。但是任何組織,不管是集中或分散,都有其優缺點,不可諱言的,原先的集中模式由於都是IT背景,評估風險等決策都會較為一致,不過,這就會完全看主其事者是誰,執行速度變得可快可慢,但是分散式架構的話則會花比較長的時間才有辦法得到結論,但是當中也包含較多的溝通,符合資訊與業務單位的需求。
現在花在協調上的時間較多,但以前也花很多時間跟事業單位討論,但如今各事業單位都自己管系統,到底是貴或便宜,各單位也能更了解。
RT說:「我就是因為要他們靠近客戶,IT的人坐在自己的房間裡認為,你要來找我做事情,這是錯的!IT要變成一個軟體公司,所以客人怎麼要求你,你就要想辦法擺平!」她認為,在自己的組織裡面,有時候並不期望你可以符合所有人的要求,但是絕對需要要求效率,組織裡沒有絕對的對與錯,只是,讓IT同仁能夠貼近業務前端,是一直會在內部組織持續的理念。
|