個資法修案經過1-2年的企盼,終於在相關主管機關的奔走下,在立院三讀通過了,《資安人》當然為這個結果振奮不已。謝謝每一位盡職的官員、謝謝那些不阻擋的委員、謝謝幕後推動的每一位好漢。
法條通過代表個資保護可為,但是能不能發揮期待的效果,倒是需要許多許多的配套,各領域的施行細則、主管機關的積極任事與否、是否具備專業稽核能力、檢調單位的專業人員培訓…等等,不一而足。這裡,我們不探討這大哉問,反而想回頭探討過去資安防護的通病。
新個資法逼大家玩真的
長期以來,大部份資安投資幾乎都在,防毒、郵件管理等可用度的確保。少數將資安當課題的企業單位,幾乎以資安人員自己規劃的方向、時程來推動,成效多大就不是太大的課題。
現在新個資法通過了,各企業單位如何做防護已經不是重要課題,重點在於,個資是否真正被完善保護,否則一旦外洩,將引來許多的災害。也就是一切以結果論成敗,也就是我們認為最重要的:『玩真的』。以前《資安人》一直呼籲的簡單課題,現在必須被迫接受了。
風險大的單位真的要請專家顧問
資安的難題是範圍廣、專業領域多、技術環境不斷衍變,如何真正從作業流程中確定防護標的與範圍?如何找出負擔的起又有效的方法?如何擬定逐步強化體質的計畫?如何挑對的協力廠家?如何有效管理廠家?這些基本但是很難的議題,現在必須面對。
解決問題而不是買產品設備
長期來資安問題的解決,要嘛以不變應萬變,掩蓋是最具報酬的方法;要嘛見樹不見林,找廠商買設備封堵眼前的問題,或者逼廠家扛下風險責任。現在,面對法律的可是洩露個資的單位,所以必須自己回頭好好做防禦、自己面對法律風險。
服務有價可以開始被驗證
資安產品一直被歸在硬體選購的方式,服務變為附贈。這是最要命的市場環境,正規專業廠家被逼的利潤差,專業人才留不住,或是人才難持續提升,回頭創造更佳服務;或是劣幣逐良幣,削價的廠家樂的降低服務擴大客群,碰到問題出現,苦的還是客戶。現在如果開始以結果論英雄,希望市場開始翻轉,專業資安公司逐步出頭天,專業資安從業人員變天之驕子,學校資安系所變熱門系所。
資安人員要小心了
企業單位長期像隱形人的資安人員,可得提高警覺了。想像一下,如果貴單位個資外洩了、檢調開始涉入、受害者開始集結,這時負責資安的人員最有可能受何種待遇?我猜,事情告一段落後,可能回家吃自己吧。
所以,平日就要多與管理階層互動,讓他們知道資安問題在人,管理體系與理想的作業流程才是重點。資安人員是協助企業組織,依據這管理系統與作業流程,在電腦體系內,建置必要的管控。這時呈現必要的報表,就很重要了;這時,透過較高階的管理人員推動資安認知課程,就是一項基本日常工作了。
真心期待,新個資法案之施行,第一個受害者,不要是資安人員!