從事資安工作,需要一股熱情。尤其,投入越深、瞭解越多,越會體認資安工作永遠做不完,等待要做的事有這麼多,教育訓練、稽核、評比報告…,而手中的資源有限,要面對的不止外患還有內憂。畢竟,維護安全與從事犯罪是對立的兩方,敵暗我明,犯罪者只要找到一個漏洞,就能得逞,而資安人員卻不知道敵人會從哪裡來,必須面面俱到,才能防止木桶漏水(請Google「木桶理論」)。在組織裡推動資安,就像是扮演糾察隊,管東管西,一定不討喜。若不是在與駭客交手時能享受一點刺激感,得到肯定時有些許成就感,誰願意整天收拾爛攤子,跨年夜還得加班防止系統出包。這背後需要熱情作為支持。
然而,最近一些例子卻令人心寒。推動資安衝得太快,不諳組織政治,得罪了人,結果下場竟是被請走路。還有資安圈的熱心義工,張貼資安新聞,未料卻被告上法庭。這樣好心卻沒好報的事情,其實不斷在發生。
日前訪問一家資安管理做的井然有序的公司,規模不小,在問到CIO一旦跨出資訊部門如何面對業務使用單位不配合的問題,如何推動資安?他們的policy讓我印象深刻,資訊部門做到的是提供工具介面,讓業務單位自己去設定權限、去管理。資訊部門向來不是資料擁有者,業務單位才是。所以理當讓業務單位主管去做好把關與督導。若沒提供工具、沒產出管理報表,是資訊部門的責任,但若收到通知沒去處理,導致未經授權存取,甚至資料外洩,那就是業務部門的問題。釐清彼此的權責,資安人員不必所有的責任、壓力都自己扛。
尤其新版個資法通過後,增加行政責任,代表人、管理人或其他有代表權人必須證明已盡防止義務,不然也得受罰(§50),所以權責的劃分就更是重要。責任已盡,資料萬一還是外洩,那麼至少可以冷靜面對。
這是吃力不討好的工作,然而還是有一群人很熱血的在默默推動,請在4月20日一同到世貿南港展覽館,為第三屆資安貢獻獎得獎單位鼓勵、打氣。