EHS東森得意購是目前台灣最大的購物頻道,擁有豐富的節目製作經驗,也是最先開啟市場的先行者,更由於多平台的經營模式,使得他們得以累積足夠的營運經驗而積極打入大陸市場。
東森得意購支援事業部總經理張起華,帶領東森六個重要的後勤支援部門-法務、人力資源、管理、資訊、會員營運、物流。具有在聯電的轉投資公司和艦科技擔任IT部門主管的背景,在IC製造產業這個如此重視資產保護的產業,張起華談到,不管是製程、研發等都是相當受到保護、重視,然而過去的IT環境,對於安全這塊領域都不是那麼的成熟。他回憶2006年在蘇州,帶領和艦科技通過資安國際標準認證ISO 27001時,也給了聯電一個壓力,此後聯電也通過了ISO 27001,他開玩笑說「從地方包圍中央啊!」
在東森,IT不只是會花錢而已,也會賺錢。張起華說「董事長覺得IT是可以賺錢的單位,寫的系統都可以賣去大陸,也因此願意投資,因此更有很多的know how要保護。」東森專為電視購物業寫的ERP系統不僅自用,透過多年經驗類的累積所寫出的系統,還能外銷大陸,他認為銷售行為是可以投過IT的技術來改變的。
東森發展出關聯式「詐騙電話指標」 分析「罪」新狀態
換到東森這個截然不同的虛擬購物環境,他說,這個產業需要面對四、五百萬個消費者,當每個人打電話來訂購產品時,就會產生個人隱私的資訊,東森當然也希望每個客人,只要通過他們的管道來消費,資料都會是安全的。
張起華很務實的說,如果沒有好好落實資安,光是通過證照,結果詐騙電話接到一堆,消費者受害,又有什麼用呢?而其實現在仍有一些網路購物商店,層出不窮的持續發生資料外洩事件,面臨到消費者質問時,卻又一口咬定是消費者電腦中了木馬。張起華說,那根本就是騙不懂電腦的客戶,根據東森的處理認知,只要發現詐騙電話回報數一多,馬上就會主動出擊,不會等客戶來抱怨。他說「拖到東窗事發再來回應、搪塞,根本就是不對的!」
東森的作法是緊盯詐騙電話資訊,直接跟165詐騙專線合作,內部發展出一套關聯式分析法,設定一個指標,每當詐騙電話指數升高,馬上就開始調Log來進行分析,詐騙集團怎麼會知道這個資訊?貨到底是由哪裡出的?誰出的?找到資料的流向,限期就要找到那個漏洞並且改善,降低詐騙比率,他認為,犯罪是無法百分百遏止,但至少可以控制在一個少數值。來來回回經過一些時日的改善,連刑事警察局的常務也都相當讚許東森所做出的努力,目前東森的詐騙電話報案數已經降低到非常少,甚至是比某些網路購物產業做得還好。
此外,東森也於2009年10月,通過國外的第三方來進行PCI-DSS驗證,在導入之前東森的安全機制雖還有些不足,不過在這個過程中東森大概也花了三到四個月導入,買硬體、導軟體,做了教育訓練,制訂SOP,把所有缺點都找出來,一個一個改善,透過驗證導入的過程,也逐步將安全機制慢慢補齊。東森也順利於2010年1月通過ISO 27001國際安全認證,達成雙重安全認證。
張起華說,PCI-DSS是一個很專精的認證,範疇主要是與信用卡流通的路線有關,凡是從網路進來的,通過伺服器的每個東西,從頭到尾都要加密等,是與交易整個息息相關,這才是對消費者真正的在乎跟負責,只要是對消費者好就是對東森好,消費者願意透過信用卡來跟東森交易,不僅安全,這也是東森將投資可以回饋給消費者的一件好事情。
與協力廠商共同創造雙贏
電視、網路購物所處的產業特性,就是裡外有太多的環節需兼顧,這也是資安在這個產業最難做的部份,然而張起華說,「這個購物平台若是產業裡的NO.1,它所合作的廠商也會隨著它變成NO.1,因為我的規格就是這樣啊!我的水準就是這樣!要跟我合作就要有一定Level!」對於資安,東森並不妥協,他們也極力要求協力廠商配合。
孔子說:「不教而戰,是謂棄之。」東森會介紹不錯的顧問公司,建議在資安較不足的合作夥伴尋求協助,最後也希望協力廠商都能夠通過資安的國際認證,目前幾個主要的合作物流,如新竹貨運、統一速達也都已經正在推動導入。張起華更說,未來立法院一旦通過個人資料保護法,每個產業也都會慢慢理解,真的需要配合來做,讓資安的維護變成一個紀律。他舉例,就像之前摩托車騎士都不戴安全帽,有時候在路上常常都會看到很慘的畫面,然而之後變成一個強烈的法令要求,情況也就改善許多,將良好的紀律變成習慣就好。他認為將來要是想要在這個產業裡當NO.1,甚至是在這個產業裡生存,資安會變成必要的條件。
至於有些小的供應商,就算基於人力、成本等因素無法達到一定的資安層級,其資料流終點也是物流商,因此也會推薦優良的物流夥伴。張起華也表示,此外或許也可以對供應商做一個評鑑,看他對資安的重視程度是如何?並以此來選定供應商,通常商品都不是獨賣,一種貨品至少會有兩、三家供應商,資安做得好的可能貨量就給多一點或是乾脆就都給他。
專業專職的資安 重要性由主管突顯
從外部環境而來的挑戰,往往也考驗著內部管控的體質。張起華認為資安是超越IT部門範疇的事情,還包括了流程、政策等,也因此東森的資安委員會便是由每個部門派代表來參與,由總經理當委員長,由IT部門扮演重要角色,定期每個月開會,找出各種資安弱點且確實改善,也請各部門協助改善、推動。
東森更是有一般企業少見的資安部門,主要有四人專職處理資安。有人質疑,是否不要設定專屬的資安人員,讓人人都是資安人員?張起華則認為,資安有其專業性。他們必須負責去推動資安政策,主導推動計畫,替組織發覺目前可能會有什麼危機?需要引進什麼新的技術,是否可以跟上外頭的資安威脅,或者可為組織帶來什麼好處?他更認為資訊安全的工作不能兼任,否則該如何真正的負起責任?然而推動資安不僅要熟技術,又要懂管理,還要負責推動,像這樣的人才想必很難找到也很難留住。張起華卻認為作為一個主管,若你也認為這件事情很重要,就要幫助你的下屬,就只是單靠他一己之力還是效果不大,主管就應該要跳出來Support!遇到需要協調的時候就要找到相對應的人,表現出支持。「所以我很重要!我會支持他們(資安)!」張起華對於何時以及如何支持下屬具有相當的認知。「沒什麼秘訣,就是看他Report到哪個Level,可以影響到哪個Level!」在上位者的支持是很重要的,他說,支持一個部門的秘訣就是每個禮拜都跟他們開會,聽他們的報告。假設你不能掌握他們的近況,代表這件事情根本不在你的腦袋裏面。在東森,由張起華帶領的事業部便至少涵蓋支援的7大部門,先做Model,日後便可再推廣到其他部門。
對於資安的理念,張起華特別強調”prevention”,他認為任何事情一定要有預防機制,而資安的管理是全面性的,也並不是買技術就可以達到了。「把電腦弄得很安全,買了一大堆技術,結果你隨便印一份文件就放在公司的桌上,被一個有心人士拿走,這跟在電腦裡的Mail被拿走又有啥兩樣?」除此之外,有權責的人亦有可能就是那個帶走資料的人,也因此各部門的第一線主管,便要肩負起權責的控管。他舉例一些管理手法,例如主管可以觀察員工的情形,員工看起來心情不太好,有可能預計三個月後會離職,這時候就要把員工權限放低,或者可能需要去監控他對外發電子郵件的狀況。技術跟工具都不是萬能,還需要仰賴管理手段來盯緊。
下一步:持續防制資料外洩
談到未來的資安規畫,張起華談到,去年PCI-DSS驗證的通過,主要強化了網頁應用程式相關的部份,今年會針對法規遵循做更多資料上的保護,東森將更會著重在防制資料外洩,張起華說,未來要看DLP 跟DRM兩個部份,會仔細再考慮一下先後順序,基本上會先從 DRM開始,從源頭開始去做權限加密的控管。 他認為這些都會更加務實的去跟營運結合。