企業組織應建立哪些觀念?
Hill&Associates顧問公司資訊安全部門總監 James Gay |
Q:在進行顧問服務時,有哪些觀念應該先傳達給客戶?
A:根據為企業組織進行顧問服務的經驗,80/20的規則常常出現:當企業要解決多達80﹪比例的技術(Technology)問題時,可以搭配20﹪的管理方式,也就是透過人去解決技術問題,例如當防火牆損壞時,人可以透過修補去解決問題。但是,當企業遇到比例僅是20﹪的管理問題時,卻無法僅透過技術或工具去解決,因為屬於人的管理問題,還是要由人去解決。
如何妥善管理員工?
Q:從員工的招募到離職,企業應該管理哪些事項?又應如何進行?
A:根據15年的顧問經驗來看,其實絕大部分的資訊安全事件起源於員工使用的密碼容易被破解、不經意對人說了太多工作的事,或是故意所致,有時則是在招募員工時,招募了過去在其他企業工作紀錄不佳的員工。
建議企業在招募新人時,應該確認其學歷的真偽、之前離職的原因,甚至可以打電話給其之前的公司;當員工錄取進入公司,企業也應該告訴他,對於資訊安全他的職責所在,哪些應該做?哪些不應該做,此外也應該讓員工負起自行管理文件、門禁、電子郵件帳號、密碼的責任。
有一件很簡單的事要做,也就是應該告訴員工資訊資產屬於企業,而非員工,所以企業有權利進入員工的電腦,因此企業應該要讓員工知道企業可能會不定時監測員工的電腦。
而當員工決定離職或被解僱,其對企業已失去其忠誠度,企業應該取消其進入資訊系統的權限,即使他還有30天的工作期,企業也不應該讓員工進入資訊系統或進入企業較機密的區域。
Q:根據一般台灣企業的規定,員工若要離職,需在一個月前提出,在這段期間內企業應如何進行管理?
A:在西方國家,通常離職是提出後馬上生效,但台灣的情況是必須一個月前提出,建議企業平時就必須訓練其他員工,才能馬上就可以接上工作,或是讓該員工在這一個月內作一些特定的工作,以避免機密資訊被帶走,或影響其他人的工作的情況。
如何管理機密文件
Q:對於機密文件應如何進行管理?是否有工具可以加以協助?
A:企業最大的困擾在於不知道如何定義機密文件,顧問要作的便是先教企業練習區別、定義出何謂機密文件,例如定義出財務或人事資料屬於機密文件後,企業才知道誰可以看機密文件,而誰又不行。至於工具,其實任何的工具都可能被破解,最重要的是管理工作的落實。
員工扮演的角色?
Q:員工在企業的資訊安全工作扮演何種角色?
A:我們可以輕易賦予電腦、雜誌等物品的價值,但是要對資訊安全本身進行鑑價是很困難的一件事,就好像我們很難去衡量Nike、Coca Cola等知名品牌背後代表的知識與價值。再舉一個例子,Hill&Associates的員工需要具備對資訊安全的意識與知識,才能讓客戶的業務持續經營,因此,Hill&Associates在協助客戶時,並非僅考慮如何保護客戶的data、紙本資料或電腦記憶體,而是要保護客戶因員工所帶來的資產。
例如當員工離職時,該員工所負責的業務可能出現延續不易的情況,甚至有些企業會因為疏失而造成員工在離職時帶走或偷取知識;另外,員工若不幸發生意外而過世,也會造成業務中斷,因此企業平常應該要求員工記下自己工作上的知識給公司,這樣承接工作的員工才能讓業務繼續運作;就像在以前並沒有文字,但是人們靠著口述方式將人類歷史一代一代傳承下來。讓員工還在職時就將知識紀錄下來,是企業應該做的事。
顧問如何與客戶互動?
Q:根據貴公司的經驗,顧問公司如何和客戶互動?
A:顧問團隊必須和客戶成為同一團隊提供服務,而企業也必須和顧問彼此融合在一起,互相信任,因為唯有如此顧問才能協助解決那個企業的問題。另外,有一件很重要的事要提醒企業:資訊安全問題是客戶所有,顧問提出的解決方式,還有賴客戶本身去解決。
顧問能提供給客戶的建議與協助為何?
Q:資訊安全顧問公司能夠提供給客戶在資訊安全的建議與協助為何?
A:對於資訊安全,顧問應該要銷售的是關於人的解決方案、是人對資訊安全意識的重視,而不是技術或工具的解決方案,因為因人而起的資訊安全問題只有人才能解決。顧問公司要提供的就是讓企業具備資訊安全意識與教育訓練,以讓他們負起對資訊安全的責任;如果顧問公司旨在銷售工具,企業不會去認同技術所能提供的效益,且不相信資訊安全的重要性;重點在於應該要讓企業組織的員工知道問題出在哪裡?否則他們不但不會知道資訊安全的重要性,甚至有時會認為資訊安全不是他們的問題或工作範疇。
例如,BS7799是資訊安全很好的指引,提供許多資訊安全的常識,例如為何需要密碼?為何需要確認新進人員的背景?其實BS7799重點即在於處理人的問題。而最重要的是,資訊在企業組織內如何被使用,這正是挑戰所在;如果能夠真正控制資訊的使用情況,就可以防止不該進入的人進入系統。所以我常常提醒客戶,關注資訊安全的主要重點不在駭客入侵,而是將焦點放在員工,因為員工可能會知道系統的漏洞,有時也可能會用錯誤的方式處理資訊。