安全 – 台灣還是君天下

2015 / 04 / 07

侍家驊

    前周的阿帕契事件，真是7級地震，震的我暈頭轉向，一個保家衛國的組織，竟然是安全沙漠，您知道嗎，現在有多少民間企業，安全文化比他們先進許多，這已不是汗顏所能形容的了。

這件醜事指出資安工作的幾個活生生錯誤例證:
1. 管理特權者: 飛行員是專才，主管寵他可能是應該的。主角是官後代，軍中文化特吃這套，足以跳過規範。但是從這次案件來看，特權者的管理真的、真的很重要。我們不能讓『這規定是管別人的』這種心態繼續存在。

2. 安全管理政策躺在一邊: 相信軍隊的安全管理規範應該很綿密的，但是這次的事件告訴我，部隊中該管的人沒有管，督導的單位該管沒有管。空有文件管理規範是沒有用的。

3. 對職務負責: 不知道這次事件，會有多少相關職務的人會被檢討懲處，如門禁管制、物品管制、現場拍照管制等人員。如果是特權者打招呼，就略過所有該做的事，那就難逃檢討懲處。究其因，情誼及畏懼特權，造成對職務的不忠。當時如果真實做下記錄、以及通報相關主管，就無懼於事後責任追究。所以安全人員，不宜當濫好人；若畏懼特權，至少留下必要記錄，面對挑戰忠於職守。

4. 資安人員的任用與考核脫序: 新聞報導說這位主角還是組織的資安人員，天啊，當時如何挑選的、之後如何管考的?

5. 安全教育: 無論這次出事組織、觀光團員們，對於安全的認知，竟是如此的不足。與我當時讀書、當兵時的環境，真是天壤之別。我們現在好像沒有敵人、沒有威脅了。整體社會的安全素養，真的該好好用心了。

    從以上每個討論的方向，直指管理與控制的欠缺。出事組織本身與督導單位，對於規定的執行缺乏動力，問題的根源就是高階管理者不重視。

    有一次參加資安稽核人員的活動，隨機做了簡單的市調。問說，稽核人員是否有無力感? 答案幾乎都一樣，報告都到稽核長，之後常常沒有下文。所以在商業組織，稽核應該規劃在董事會，而不是總經理。想想看，對總經理管轄範圍做稽核報告，再呈給總經理，最終答案你我都知道。

    希望負責資安的所有同好們，能好好對職務負責，當烏鴉、當吹哨人，讓主管體認忽視安全的代價，讓我們一起建立機制，揮別『人治』。

稽核資安人員管理特權