過去刷牙洗臉時,多數人都會一手壓著『洗手台』,一手刷牙,但是現在我們卻不敢了。因為我們知道『洗手台』可能會破裂,導致割傷與生命的危險;公司電梯一定會定期保養,相關預算也絕對不會被刪減,為什麼?因為人命關天,如有意外,除了金額賠償以外,公司還要面對法律問題;過去保險比例不高,如今人人幾乎都有兩個以上保險,這些實體世界的危機意識,我們天天耳聞,所以隨時警惕。
但是公司的資訊化與生活化,卻沒有讓我們親身體認到虛擬世界的危機意識,任何實體世界可能發生的危險,虛擬世界都會發生!而且更令人可怕的是當這些危險事件發生時,總經理與企業主管通常都不知道,而且毫無警覺,諷刺的是反而僅有『地下總經理』才知道,何謂『地下總經理』?就是 MIS 管理人員,因為他們擁有公司最高的主機與資訊系統的權限,可以執行與操作總經理都不會但卻攸關企業營運的敏感資訊。
大家為何願意保險?為何願意投入電梯保養的預算?因為投入的成本與被保護者價值符合當事者的成本效益分析標準,或許每個人的標準不同,但是每個人都有一把自我可以承受的風險標尺。
所以如果企業主知道,公司網路與資訊系統一天無法正常運作,公司營業額將損失 數億元,企業主一定會馬上要求建立「僅需投入數百萬的備援系統與不斷電系統」,便可以將每年風險的可能損失從 數百億(每天數億元*365天) 降低到每年數十萬的風險!
又,如果企業主知道,MIS 管理人員幾乎就是『地下總經理』,企業主將不會僅僅憑藉著『忠誠度』來規範其可能的風險,身家調查、人事的輪調(Job Rotation)、責任分離(Separation of Duty)、與相關的稽核機制(制度、流程、資訊技術)將勢在必行,否則某金融單位董事長便不會因為某位 MIS 操作人員之人謀不臧而官位不保。
這其中主要的關鍵在於整體企業對下列十項資訊安全風險管理項目欠缺了解與體認
1. 資產的價值
2. 先天的弱點
3. 潛在的威脅
4. 發生的機率
5. 損失的比例
6. 風險的衝擊
7. 接受的程度
8. 改善的措施
9. 持續的驗證
10. 不斷的調整
資產的價值
資產如果沒有盤點,便不知曉需要被保護的資產對象在哪裡?是否有遺漏與疏忽?資產如果沒有分類與鑑價,便不清楚哪些資產的價值與重要性最高?需要特別的保護與『降低』或者『轉移』風險?便不清楚哪些資產雖有風險,但是因為價值風險不高,在資源有限狀況下,其風險可以被『接受』。這個道理如同產險一樣,價值越高的不動產其保費較高,立論簡單也合理,但是在資訊安全的領域,企業卻不知需要如何進行?
困難點在於:
一、高階主管因素:沒有資安風險的危機意識,導致資安的資源投入(預算、組織運作、資安人才)有限,惡性循環的使得CIO/MIS 無法 “獨自” 或者 “運用組織力量” 完成資訊資產的盤點、分類與鑑價,進而無法提出資安的成本效益分析來善盡告知責任讓企業主充分了解資安與企業營運的重要相關性。
二、MIS 部門因素:國內資安人才欠缺安善的培訓,部門內也無專業與專職的資安人才,資訊系統相關的維護廠商也非資安專業,國內資安廠商林林總總,參差不齊,如何選擇合適的資安諮詢顧問?甚至更動目前資訊人員的部分工作內容,
負責定義需求及面對資安諮詢顧問肩負主溝通
先天的弱點
MIS 人員因為特殊專業與需求往往管理公司重要主機與資料庫,例如:研發設計圖、客戶金融信用資料、成本、報價單、採購單、公司財報與人事薪資資料,再再曝露企業在 MIS 人員的資安管理制度問題。管理與稽核的人不懂電腦或者隨時變化且深奧的資訊技術?懂電腦的有不懂稽核?該如何處理?
企業e化與資訊化的普及率越高,任何員工透過網路都可以抵達任何地點,不像實際世界的層層保護與監視,所有網路行為不論善意或者惡意都在我們 “看不到也聽不到” 的網路環境上運作。該如何面對?
這些先天的弱點都是無法避免的,問題是我們是否清楚了解我們的弱點究竟有哪些?究竟是高風險?還是低風險?究竟是破壞性的弱點?還是可補救的弱點?如果我們都不清楚自己的弱點?如何改善與降低弱點?
潛在的威脅
身為 CIO/MIS 主管,如果很清楚公司資訊系統的十大弱點,針對每一個資安弱點,是否可以提出其相對可能的潛在威脅?如果不清楚威脅所在?如何兵來將擋? 如何水來土掩?
發生的機率
誠如保險的保險金計算的原則,一切都是透過機率來推演,如果一個企業連接網際網路,在三年前被入侵的機率可能僅有 30% ,但是現在卻高達 100% 甚至 200%【備註:因為同時間可能被 N 個駭客入侵】;台灣每個地區可能停電、停水、地震、淹水或者線路斷線的機率都有跡可循;內部員工因為好玩或者惡意破壞竊取資訊資產的機率也有相對統計。 MIS 部門如何定期收集與更新相關威脅發生的機率?
損失的比例
每種威脅一定是透過某個先天弱點來得逞,但是當該威脅發生時,我們是否知道其所導致的損失比例?例如:企業連接某個 ISP 網際網路 T1(1.544M)數據專線,如果公司沒有數據專線備援機制,公司便 100% 無法連線,所以此威脅的損失比例便是 100%;相對的如果公司有備援線路,但是頻寬僅有 64K ,則其損失比例可以算是 (1- (64/1544) ) = 大約 95% ~ 94%;相對的如果公司有備援線路,但是頻寬為 T1 ,則其損失比例可以算是 0 % 等等以此類推。每種威脅發生時所導致的損失比例因公司資訊資產與該公司經營型態特質而異,有些根據威脅導致的復原時間長短而異,例如:停電時間長短、斷線時間長短;有些因為被破壞或者竊取的資料數量多寡而異。
風險的衝擊
某個資訊資產可能具備多個先天的弱點,每種弱點可能的的潛在威脅可能僅有一個,也可能是一個弱點卻有多種威脅,所以經過前面的資產盤點分類鑑價、弱點分析、威脅判斷、發生機率的推演及每種威脅的導致損失比例的層層分析,便可以完成所謂的資訊安全管理系統中的最重要的「風險分析(Risk Analysis)」階段。
接受的程度
經過公司各部門共同討論與分析後,完整的企業『資訊安全風險分析表格』便可以出爐,然後再針對該表中的「每年損失(萬)」欄位進行 “遞減排序” ,歸納出資安風險衝擊的優先順序高低,在企業的經管會議中向企業主與總經理提出。因為每家企業的營運特性、規模大小與企業文化不同,所以每個企業主對於風險可以『接受的程度(每年損失金額)』也隨之差異,有些企業可以接受高達數億元的風險,有些企業則不允許有百萬以上的風險衝擊與損失。
當企業主與總經理根據『資訊安全風險分析表格』決定與裁示企業可以『接受的程度(每年損失金額)』的標尺(例如:NT 750萬)後,各部門相關主管便必須針對標尺以上的所有風險衝擊,也就是高於 NT 750 萬(也就是上表的 XX、YY、MM)的威脅風險衝擊進行『風險處理』,思考與決定如何修改管理制度 或者 規劃及建置資訊安全設備,裨助於「轉移」與「降低」風險的衝擊到 NT 750 萬的標尺以下。至於原先低於NT 750 萬的威脅風險,也就是上表的 ZZ、AA、NN等等風險威脅,由於其衝擊在企業主或者總經理的風險「接受」程度以內,各主管便可以先行將資源放於其他急需改善之刀口處,最後再針對每一個威脅與風險的「風險處理」填入相對適當的處理方式。(如同上表的 XX、YY、MM的處理方式為「降低風險」,而ZZ、AA、NN等等的處理方式則為「接受」。)
企業主與總經理從『資訊安全風險分析表格』中清清楚楚明明白白企業所面臨的威脅與所導致的相對風險衝擊,尤其是量化的金額數字,然後決定那一道標尺,不但可以從請『資訊安全風險分析表格』中相對的『對策效益欄位』中讓企業了解 MIS 對公司與企業的貢獻與績效,而非僅僅是花錢單位,同時當那一道標尺決定之際,便是相對決定了爾後階段性資安預算的方向與數字,讓公司的每一份錢都發揮最高的投資效益。
改善的措施
一旦企業主與總經理決定了所能接受的風險標尺後,接下來各部門主管便須針對標尺以上的威脅風險思考相對的改善措施;有些需要額外的預算與成本,例如:增購各種資安設備、聘請資安顧問、申請資安認證、安排資安教育訓練計畫、招募資安專職人才等等;有些則需要修改公司規定、調整工作流程、規劃資安事件演練計畫、成立企業跨部門資安小組、與改善人事與管理制度。
針對『資訊安全風險分析表格』表中每一個標尺以上(也就是上表的 XX、YY、MM)的威脅與風險,相對權責部門必須進行各種可行對策進行判斷與分析,將相對的說明與數字填寫於『資訊安全風險分析表格』的綠色欄位中,例如:「對策說明」、「對策成本」、以及「對策效益」 等等欄位。原則上,「對策成本」欄位的金額數字應該小於同一列的「每年損失(萬)」方能符合成本效益原則,因為企業主或者總經理 應該不會同意花費一千萬來保護一百萬價值的資產。
至於「對策效益」欄位的內容 =「每年損失(萬)」欄位-「對策成本」欄位,透過此欄位數字便可以明顯看出每個對策與部門的績效。當『資訊安全風險分析表格』所有內容填寫完畢後,再次透過經管會議的討論與決議,便可以決定每一項改善措施的預算編列與相對執行時間表,進而選擇合適的資安廠商進行資安設備的規劃、採購、安裝、資安會議、教育訓練以及相對的緊急應變措施演練,另外可能也需要進行各種改善制度的佈達與執行,方能落實此階段的改善措施成效。
持續的驗證
企業主如何確保其成效如同預期呢?所以通常需要請 資安顧問或者稽核單位 進行相對的稽核與驗證,裨助於了解所投入的資源、人力與成本是否創造出企業所能接受的資安風險等級。此時可以請資安顧問協助進行「內部稽核與審查」,如有必要也可以請資安顧問聘任「外部稽核與審查單位」來進行所謂的『外審』。無論內審或者外審的結果,可能會有部分瑕疵,資安小組針對審查結果再進行必要的修正。
不斷的調整
企業組織會變化,制度會修正,網路架構與資訊化的規劃也會隨著時間與企業的營運而有持續的變化,因此企業資訊系統或者管理制度原來先天的弱點、潛在的威脅、發生的機率、損失的比例、風險的衝擊、與接受的程度與標尺都會隨之而改變,所以企業主必須有正確的觀念:欲維持企業資訊安全的等級在可以接受的範圍內,企業必須不斷的配合需要調整其『資訊安全管理系統』。
對企業的建議
1. 資安顧問的聘任勢在必行:國內資安人才有限,企業資安資源不足,如何理論與實務經驗並重,可選擇專業專注而且標準、理論、實務經驗與安全評鑑相互策略聯盟的資安顧問團隊。
2. 教育訓練規劃與落實:因材施教,高階主管觀念的建立,資安小組方法論的培訓、企業專職資安人才的配置。
3. 資訊安全管理系統的規劃先從小範圍的「風險分析(Risk Analysis)與風險管理(Risk Management)」開始,在資安顧問的輔導下,一邊從旁學習,一邊培植種子老師,逐步進行下一個階段的範圍界定。
4. 進行定義範圍內之完整系統規劃與導入。
5. 如有必要,可以考慮導入「安全評鑑」,確保重要資訊系統的安全等級。
6. 根據第一階段導入經驗與範圍需求分析,進行大範圍的資訊安全管理系統規劃與導入。
7. 如有必要,規劃與進行 BS 7799 的認證輔導與初審之規劃。
(本文作者為寬華網路資訊安全顧問)