有玩過線上麻將的人不會不知道明星三缺一,而明星三缺一是國內遊戲大廠鈊象電子旗下的明星產品之一。在介紹鈊象電子之前,我們先來回顧一下童話故事「三隻小豬」的故事。故事中,一隻隨便的豬築了草屋,另一隻想木屋應該就夠了,只有第三隻豬用心築了磚屋。大野狼一口氣把草屋吹壞,兩口氣也吹壞了木屋,最後三隻小豬都躲在堅固的磚屋裡,大野狼才無可奈何。之後「三隻小豬」的故事被延伸意義,形容多用心,不偷懶,才能有最堅固的收穫。
資安控管量化並與營業目標結合 才能降低損失
一般企業主皆認為,資安投資效益很難量化。但其實資安控管是可以量化的,以鈊象電子去年在訂定資安目標的其中一項:「線上遊戲平台中斷時間超過1小時者不得超過N次,低於1小時者不得超過M次」的規定(今年目標預估向下修正),此例來說,線上遊戲線上消費的收入是隨著時間累積而來,因此停的時間越多現金流也流失越多,這是直接影響到營收,所以如何將中斷的次數往下降,和公司的營業額有直接關係。
鈊象電子總經理室管理代表經理徐俊揚說:「做資安不像賣東西創造營業額,若能夠扎實的將資安做好,就像人家說的:『賺一塊錢,未必就有一塊錢;但省下一塊錢,就真的賺一塊錢。』有時候你沒有感覺到做資安的價值,但其實能夠『降低損失』才是真正的價值所在。」
多數人以為,做遊戲業者的和資安沒有直接相關,也有多數人以為,在投入成本在資安上很難對企業營收造成直接影響,但這兩者也是多數人「以為」而已,真正要有做過的人才知道!國內以電動主機起家,目前朝向線上遊戲軟體研發的遊戲大廠「鈊象電子」1月營收2.49億元較去年同期成長了24.0 4%,能有此佳績,嚴守把關資訊安全的控管絕對是關鍵因素之一。
十年前,鈊象電子的老闆便主導ISO制度的導入,在這樣的先見之明推動下,鈊象電子成為遊戲業者中,最早導入資安管理政策的先驅企業。鈊象電子的主要高層都是研發出身,對於風險管理的概念很敏感,因此要導入資安相當支持,他說:「當初導入時,我們的確評估過外界許多失敗的案例,但在老闆的堅持下做我們當下能做的事,就這樣循序漸進。」由於鈊象電子早期和工研院在技術上有合作,對其技術背景有相當的信任,因此資安輔導單位便選擇了工研院。
機密資料分級 老闆親自決定 雞蛋不會放在同個籃子裡
早期靠著商用遊戲機硬體製造起家的鈊象電子,從2004年起線上遊戲研發也漸有佳績。因為歷經過一次公司搬家,所以是到了2008年鈊象電子才通過ISO27001。鈊象電子的主要遊戲產品多是自行研發,這些研發產品是公司營運的命脈,因此資料的重要性透過老闆大刀闊斧判斷,將各個專案獨立分類控管,只有各專案負責者可以接觸到個別負責的專案,萬一有任何閃失,也只是損失一個專案。
剛開始導入,徐俊揚印象最深刻的拉扯就是方便性和機密性,「要在兩者之間取得平衡,需靠時間累積。」因為,要方便但機密性又不高;要機密的話,又容易變得很不方便,拿捏平衡真的有困難度。徐俊揚回憶起當時在談USB儲存管理規範,「究竟是要管制還是開放呢?」尤其是IT產業,研發過程的流程需要非常順暢,處處設防會讓員工工作起來綁手綁腳,最後決定統一將專案性的研發機密資料分別放在公共電腦納入各別專案管理。徐俊揚說:「高層的觀念認為,將需要保護的資料保護住,其他空間仍維持開放,才不會萬事變棘手。」
剛開始導ISO一定會被嫌麻煩,但在整個流程跑完,能夠讓問題不再產生就算是已經達到最大效果,因為通常多數人覺得哪會有事?但是問題能夠在尚未發生時就先加以防範,才能突顯導入ISO的價值。所有的威脅會在資安小組會議的風險評鑑時被量化出來,哪些該處理的就先處理,循著報告結果做改善。好的系統照著評鑑步驟在演練,其實不用擔心,徐俊揚說:「如果照著系統跑還要擔心,那這個系統的可被使用度,就需要進一步檢討了。」
風險評估:省下一塊錢好過賺一塊錢
導入ISO後,是否已經透過制度的改善看到,哪些環節是需要做最多的風險措施來降低問題的發生率?徐俊揚舉例,在2009年做風險評鑑時,會與營運目標結合,鈊象電子在義大利市場佔營業總額有滿高的比例,因此在做風險評鑑時,就會給予義大利的專案比同等級的專案相比,較高機密的控管。畢竟,這部份的資訊若洩漏出去,對公司整體營業銷售會有大幅影響。所以透過這樣機動的調整,只要影響到營業額的機密資料,在等級判定和風險評鑑時就會被提出來改善強化,之後再投入更多的成本來加以管控。
每個程序書還是有自己的負責人,讓主管過目審核之後提案,資安程序是各事業處自己提要如何管理專案,非管理部門另外訂定,因為自己部門是最熟悉的。再者,一般公司的目標會逐年提升,作法若維持不變也難帶動公司向上發展。徐俊揚說:「就像做螺絲一天生產一百個,從手工變成半自動化時,就勢必要修改程序書。之後若要全自動化生產,程序書不可能不變而讓目標成長,訂目標、修改程序書、再訂目標、修改程序,以爬樓梯的概念去執行。」
徐俊揚想要與大家分享的一個觀念:在制訂程序書時,確定能夠達到的目標再寫。多數企業遇到的問題是在寫程序書時,因為太過理想化,沒有先與實際執行的人討論,因此發佈後會導致落實時遇到困難。他說:「先擬草案,和主要幹部先溝通,這樣運作才能減少問題。」
資安稽核 縱橫深入企業內部
鈊象電子將需要保護資料妥善保管,至於要管到哪一個程度?這些都是資安團隊在會議中多次評估溝通來訂定規範。徐俊揚負責統籌管理跨部門的資安團隊,他認為,一個資安控管的架構設計是否完善真的很重要,在鈊象電子資安團隊分層包括:「管理代表」、「副管理代表」、「資訊安全負責人」、「政策/程序制訂組」、「內部稽核組」、「事件管理組」、「緊急應變組」、「風險管理組」共八個職務組別。
架構在設計之初,「管理代表」和「副管理代表」的資安小組就包含了兩個事業處(線上遊戲部門與遊戲商用機部門),如果遇到問題,直接找各事業處的主管第一線指揮改善,「這樣的配置,效率是很快的,力道是最夠的!」
公司內部稽核部門組長本身也是資安團隊中內部稽核組的組長,組員則由研發部的主管們擔任稽核員,以專業稽核專業。內部稽核組透過內部跨部門討論將目標訂定出來,列出演練項目(備份資料還原是必做),之後檢討修正,並安排時程演練抽測。常言道:「自首無罪,抓到加倍。」運用這樣的概念操作於資安管理中,徐俊揚說:「一般人都是較重視外部稽核,但事實上內部稽核的效果才是最大的,因為內部稽核是最清楚公司運作與問題點。」他認為,在內部稽核過程中,能夠找到問題點反而是好事,因為問題能夠被找出來就有改善的機會。
內部稽核 注重異地備援
一般人無論是遇到內部或是外部稽核,都會有鴕鳥心態想要掩蓋錯誤,這樣對企業本身而言,其實是不好的。鈊象電子在內部稽核時,事件管理組主要負責發生事件時填單留下紀錄,並且分析問題的數據資料。無法通過的缺失單,往往是超過二位數的,徐俊揚說:「缺失單是非常用力地開,鈊象內的員工有很好的默契知道開單是為了要更好,把問題找出來。單子回來了還有可能再被退,因為要寫矯正預防措施呀!如果缺失單上,只有寫問題而沒有寫預防解決方案,那也是沒有用的。」將缺失單結合資安團隊的各組演練,有效達成問題的被矯正率。
在推動ISO過程中,對鈊象而言在異地備援復原時間目標(RTO,Recovery time objective)上有感到困難度, 因為每件事要規範出多少時間內復原,RTO最快能夠多久回復?這個時間不能隨便亂定,且要有一定的配套措施並配合演練,這些程序繁複工程浩大,演練不是一兩年就可以做完的。於是在安排時程上,會先找出哪些要在第一年做嗎?而第二年又要做哪些呢?在哪個時間點要完成哪項任務都要審慎思量,再搭配實際演練,扎實地檢視內部運作。
例如資料備份,準備一台電腦給受測員工,裡面有已經灌好的軟體,必須在一定的時間內,將備份資料復原在這台電腦。徐俊揚說:「這是非常扎實的,平常資料的備份上有沒有完全?能否將你要的資料完整地還原回來?一個演練之後,結果就是能夠令人一翻兩瞪眼。真正有在做員工自己也會看見效果,他們也才會真正把演練當做一回事。該做的部份有扎實執行,員工也會意識到:公司是玩真的!」
落實是原動力 讓系統發揮功效
在每次演練過程中發現新的問題,才能達成演練的目的。徐俊揚回憶說:「曾經有一次還原資料時,發現音樂的資料竟然沒有備份進來,所以無法還原。」因此,軟體、遊戲企劃案、美術圖形等一個個元素,可以透過演練的落實,將疏失突顯出來。「還有一次還原時,才發現原來一直都是在使用舊的軟體,還原的電腦卻是使用新的軟體,因此備份上無法互相支援,從那次開始,在備份資料時,我們連同軟體工具一同備份。」鈊象電子透過落實的演練,讓員工在過程中發現演練的功效,進而也是系統在運作時發揮它的價值。
「一家公司運作到最後只有以系統自己在執行,才能夠真正的執行長遠。」徐俊揚如此說。鈊象電子約有六百多名員工,資安小組的種子組員多由各部門主管組成,整個組織的職務是分層分配,共約20多位成員。每星期至少會開會一次,每次約半小時。種子組員定位在專案負責人的層級以上,驗證範圍不僅僅只有專案負責人遵循,而是全體員工一併遵守,透過演練、資安教育和宣導方式,令公司上下員工一起達到重視資安的共識。
徐俊揚說:「其實最可怕的敵人,是你看不見它的時候。當你發現它之後,就去解決呀!」當外部新聞正在報導哪家公司企業發生資安事件,鈊象電子也會檢視公司內部是否有存在類似的問題。「老闆最擔心的是,公司資產一把火燒了,什麼時候能夠再站得起來?」所以藉由外在觀察得到的案例來修正,若有不足,趕緊改善。
還記得文章一開頭「三隻小豬」的故事嗎?最後那扎實蓋建一磚一瓦的豬,不僅能夠抵抗大野狼的侵入,還能保護另外兩隻偷懶的豬。看完鈊象電子的案例,我們怎能還會認為,企業投入成本在維護資安會與增加企業營收無關嗎?