資安風險動態變化 管理策略需定期檢討

臉書創辦人Mark Zuckerberg最近因股價大跌不止導致身價縮水，緊接著還要面對股東提起的相關訴訟，但其上市後面臨的挑戰恐怕不只是股價波動、股東訴訟等問題而已，面對廣大使用者的資訊安全，其資安風險管理可謂是重頭戲，但要對廣大用戶做到有效之資安風險管理其實不是件容易的事。

簡單來說，資安風險的管理與監控之所以難以具體達成百分之百成效，主要原因在於這些資安因子具有不確定性與不可預期性，即是所謂的「風險動態文化問題」。為解決不確定性、不可預期性及其他各種因子所造成風險複雜度升高，進而影響資安成效，許多資安系統會採用混合策略方法，以降低此類因子的威脅。許多方案在特殊領域擁有不錯的運作成效，但想要進一步模型化這些風險因子，恐怕不是想像中那樣容易，更別說要應用在Facebook此種廣泛基於網路社群的應用領域了。

風險具有動態文化  管理不能類推適用

風險是否相同有其可供評估的參考，其中不同事件的風險類似性，通常與風險因子的組成順序有關，因此在資安防禦策略上，分析風險類似性的喪失程度，在某些方面即意味著系統防禦能力的升級。對消費者而言，許多人對資安風險的存在並沒有深刻感受，原因在於資安風險大多是難以明顯舉證的事實狀態，其侵害具有持續性與擴大性，但不見得具有即時性，故一般人多會忽略自身資安風險的存在。

對許多專家而言，風險並沒有統一與明確的定義，不同領域專家對其所謂的風險有其自身領域之詮釋範圍。依據2002年ISO/IEC風險管理指導手冊來看，風險指的是「一群可能會造成負面影響的事件集合」，任何嘗試予以定性、管理的行為，都被認為是將風險轉為不可預期與不確定性的涉入因素。事實上，要評估風險都有其考量之必要因素，尤其是資訊安全風險，其涉入的複雜度更高。

在資訊安全領域，風險依據其威脅與弱點的不同被分成數種等級，但令人困擾的是這種弱點與威脅乃與時俱進，具有人因演化的趨勢，因此不會有一套行之久遠、恆久不變的應對策略，每一種安全策略都應該定期被檢討，並具備隨時應對應變的策略制定能力。換句話說，縱使風險具有類似性，管理策略也不見得可以類推適用，其主要的關鍵因素在於風險具有動態文化，其會隨著社會、文化、政經環境等因素，而出現不同的不確定性因子，導致相似的管理策略未必都能奏效。

為樽節資安風險管理成本，不少學者嘗試將風險模組化，有的施以專家系統概念（例如：L.S.A. Gorden及I. Belik等人）、有的利用fuzzy推論方式…等，雖然每一種方法在特定領域裡面都表現得不錯，但事實是，每一種方法都有其文化背景與評估的方式，無法適用於其他種類的評估領域。正如前述，風險模組化的最大困難在於「風險動態文化(dynamic culture of risk)」的問題，此正呼應前述的風險具有人因演化的趨勢。....《未完》