當稽核員個個抱著胸,手裡拿著教鞭揮動著要求安全主管,展示全面的風險與漏洞管理程式時,心裡可是無法容忍任何差錯的。這便是諾華集團(Novartis AG)的全球IT安全主管,Andreas Wuchner的信念。
「你必須證明你已持續地做好了風險管理—證明你已有了自己的更新程式管理機制,而且你還可以積極地管理各項安全狀態,」Wuchner說道。「我們都不必然能完全做到這些。」
諾華在安全上裝出來的態勢純粹都是隔離的功夫,在這家分公司遍佈於140個國家的企業中,資訊安全的能見度僅侷限於各個分公司中。在這些分公司中,有些對安全工作很在行,有些則是苦無資源。基準的安全政策幾乎無法在企業中全面執行。同時間,Basel II、HIPAA以及沙賓法案等法規又是無法避免的限制。可以想見的,這個巨大的製藥王國正逐漸面臨崩解的地步。
這事就發生在18個月前。從那時起,Wuchner的組織便希望能夠切入積極安全管理的快車道,從高階層的風險評估開始做起,並要求達到公司安全政策與架構的徹底檢查,包括集中式管理系統的建立。
著手開始
諾華生產用來治療癌症、心律不整以及神經系統失常的處方藥劑。該公司還擁有一個消費醫療部門,用來生產Ex-Lax、Maalox、Theraflu以及Gerber嬰兒用品。2004年時,諾華在全球的營業額為282億美元。該公司除了與企業夥伴及服務供應商交易並共享資料外,還擁有了大量具有策略意義的智慧財產資料,而這些資料目前還處於需要保密的階段。
在Wuchner與諾華集團的資訊安全主管Manfred Schreck能夠完成其集中式安全管理系統之前,他們還必須找出最具風險的系統與資訊,並將排列其優先順序。自從公司在1997年成立以來,每兩年便會實施一次非正式的風險評估,但到了2004年,最高等級的評估讓安全組織有了轉機。
「(自從1997年以來)公司已有了很大的改變,但我們的資訊安全政策與架構仍舊跟不上時代,」Schreck說道。「我們從未正視過公司暴露的風險有什麼改變。」
顧問訪談了美國以及歐洲三十多位的高層主管,包含「C」之頭的高階主管(CEO、CIO、COO等)、代理人,以及IT主管,以便評估現行與未來的資訊風險,最應優先處理的系統,以及最具潛在風險的商業程序。根據Schreck的說法,行動設備在諾華中最構成威脅。
這種從戰術到戰略的思維轉變,是許多企業夢寐以求,但卻無法可及的。
「諾華全公司的風險管理反應了安全主管在角色上的長遠改變,他們不再是救火隊員,而是防範專家,」Forrester Research的企業風險與規範管理研究副總,Michael Rasmussen說道。
資源的限制以及法規的壓力迫使許多公司設法在安全決策上取得榮耀。忍受風險評估分析的折磨,而不只是洋洋灑灑地列出系統功能清單,才能讓企業遠離風險,Rasmussen說。
「有時候造成這些困難的反而是軟體廠商,他們模糊了救火工具和真正管理功能之間的界限,」Rasmussen說。「你在他們的宣傳上到處都可看到風險的想法,但很少有人能真正去考量到企業的衝擊。他們會談到關於漏洞以及風險評估等字眼,但卻不會著眼於企業可能遭受的損失。」
「現在的趨勢是,安全主管必須做到諾華曾試做的事:將風險概念放進企業的本質中。」
這修正得從政策層級開始做起,例如,就像白紙黑字的規定,在所有外包案件中,外部廠商都得遵守所有的內部規範。諾華將這項規定當作是合約的要求事項。
Schreck也得倚靠檢核清單。他會參與企業夥伴的協商,定義出安全問題與要求,包括內部的稽核程序要求,以及明確地清楚在合約結束後,該如何處理相關資訊。
不管是對哪一個IT的案子,這些企劃都能透過單一的安全政策基準,詳實寫出基本的需求。
「我們每個月都會收到50萬到156萬封的病毒信件,因此基本的健康是必須維持的,」Schreck說。「沒有人應該開發出那種需要再一次思考病毒控制的E-mail相關系統。」
啟動即時動態圖系統
雖然已制訂了基準政策,但任有一件事會影響到諾華區域營運的能見度。藉由全球各地開發出的40個QualysGuard漏洞掃描器所產生的資訊,Wuchner與其團隊可以建立出自己的SANS/FBI前20名漏洞清單,以便讓公司能夠對系統與應用程式資源進行優先排序。有了這份清單,便可用於開發內部與外部的漏洞管理平台,也就是所謂的即時動態圖(heat map)。
SeTraSys(安全追蹤系統,Security Tracking System)是外部平台,它負責監控150個設備,包括Web伺服器、防火牆、路由器以及交換器等。Kaizen(日文「持續改善」的意思)則是內部平台,負責監控公司81,500位員工所使用的100,000個設備。
這兩個系統的前端程式,可讓主管一眼就看出各項資源是否合乎制訂的基準與政策。主管們可以在一份全球地圖上,點選某一個國家,然後再點選該國的某一個或所有分佈點。從這裡可以看出問題的嚴重性,紅色代表的是問題點,黃色表示潛在的問題,而綠色則代表一切安全。
內部開發的演算法可檢視資料的機密性與嚴重性,並且還會評估當地IT人員的規模以及對潛在威脅的反應能力。而效能指數的公式變因還包括了現有問題數量對於當地營運規模的不利影響。
「或許瓜地馬拉的點不會有任何重要資料,因為這個點只是個營業辦公室,」Wuchner說。「這便是我們想在報表中反應出的一些事情。你得將精力集中在最重要的事情上,像是主要的ERP系統或是擁有病歷記錄的地方。」
雖然當地的IT主管隨時都能看到即時動態,但Wuchner的團隊還是可以監控整個系統;有個大團隊負責監看內部的安全狀態,另外還有幾個人負責監控防火牆與其他外部聯絡點。
「在這之前,當地的IT主管必須完全依賴自己的人來告訴他是不是所有的事都在控制之下,」Wuchner說。「身為一個商業IT主管,你無法對所有的事都瞭若指掌,因此你不得不相信其他人說的話。現在這些主管很容易就可以自己進入系統,看看問題出在哪裡,或是問問『這裡表示什麼?』之類的問題。這讓他們擁有前所未有的管理能力——也就是親眼看到問題如何發生,以及對問題的衡量,甚至是管理的能力。」
即時動態圖的功能花了9個月的時間進行規劃、設計、測試,以及部署。Wuchner表示,要讓人們使用這個系統的確是一項挑戰,因為各地的區域主管得接受Qualys以及內部的訓練,才能讓自己熟悉系統的運作,以及解讀資料的方法。
企業主管會被要求以問卷的方式,提供哪個系統跟哪個商業程序相關的資訊,以了解公開與機密資料的保密程度。
「問題是,這家公司不是靜止不動的,」Wuchner說道。「你總會買賣一些東西,你可能會將系統由PeopleSoft轉移成SAP,你也可能會導入一些新的產品。不管整個風險評估資料是否存在,這些改變都是一直在進行的。」
健全的體質
由於內部威脅總是被認為是最危險的,因此Kaizen平台可讓諾華的安全團隊了解他們的系統是否有漏洞,以做出重要的決策。
「你最好有一個能根據你所安裝的軟體與組態的方式來進行優先排序的內部概觀。如此在某些情況下,這些內部概便會成為有用的過濾工具,」南加大電腦系統安全中心的主任Cliff Neuman博士說。
只要SeTraSys或Kaizen找到了一個漏洞或安全事件,系統便會透過安全連線發出警告,並且自動送出處理要求給支援中心。警告的內容詳細包括了高層次的概觀以及補救建議。藉由補救和過程中的新發現,管理平台可追縱與規範出相關的生命週期表。
「這個平台讓我們免於使用『魔法』(不確定能不能反應事實的安全矩陣數列)以及猜測的方法,便可得到我們全球IT架構的真實健全狀況,」Wuchner說。
只要點選幾下,諾華便可找到特定的應用程式漏洞,並可了解全球有多少的系統尚未進行更新。當這些問題被修正後還可列出詳細狀況的報表,以及修正共花了多少的時間。這些平台還能用來傳遞有用的資產以及組態管理資訊。
這個計劃為諾華帶來的架構,在遵守未來的規範或法規上也是不可或缺的。
「永續經營是極為重要的考量。只要你能看出什麼是你的資產,什麼正在執行,什麼無法執行,這便是錯誤排除以及避免停機的最好起點,」High Tower Software的CTO暨諾華前顧問Eugene Schultz說。「如果停機會倒致某人無法取得必需的研究資料,或是研究資料被污染的話,公司的問題可就大了。」
本文作者是加拿大的科技自由作家。