在一般人的認知中,資安(或資訊)工作是一個技術含量極高的領域,對一般企業主或單位主管而言,認為只要能找到學有專精的人來做資安,就能解決組織面臨的資安問題。但如果我們比照近幾年發生資安事件的企業,其組織規模都不小,公司內部也應配置有專職的「資安專家」,更別說有些受駭的公司本身就是資安公司,由此看來即使具備專業技術也不一定能做好資安防護的工作。
資安需集合眾人之力
資安工作為什麼需要跨部門溝通?我們來看一下執行資安工作時可能需要的支援。除了資安部門本身的努力外,其他像長官的支持、人員與經費的投入、員工需配合資安政策等都是不可或缺的要件。如果是在規模較大的公司,資安部門與資訊部門甚至是不同的單位分工。如何讓資訊部門的同仁,在他們的日常作業中加入相關的資安考量,更是一個重要的課題。
例如在應用程式開發時應注意系統機制或程式語法的安全性,避免軟體出現漏洞而遭攻擊。而MIS人員在維護系統穩定運作的同時,也要注意系統的修補更新,以強化資訊系統的防護。另外當公司內部發生資安事件時,不論是事件調查或是之後的改善措施推動等,都需要協調公司其他部門的配合。
溝通軟實力
即使瞭解跨部門溝通的重要性,還不一定能做好資安工作。多數IT人員都是技術背景出身,很擅長與電腦機器溝通,但真要面對同事時反而會辭不達意,以至於有些IT人員寧願加班進行系統開發,也不願意去面對公司內其他的部門或員工。
再加上許多公司或組織在推動資安工作時,常常是用類似「命令」的Top-Down方式來執行相關工作。在沒有良好溝通的前提下,卻要求其他員工來配合這些讓自己不方便的政策,長久下來,當然會使資安單位在某個程度上與其他部門產生對立,也讓資安工作更難推行。
例如員工常會抱怨不知道為什麼,有些網站不能上或網址無法連結,後來才知道是因為有資安疑慮而被阻擋。或是資安政策要求機敏資料儘量不要電子傳遞,若真有傳遞需求時應要加密傳送,但實際上真正照做的員工少之又少;除了因為加密過程較為複雜外,更重要的是員工不認為會有什麼嚴重後果。甚至當有資安事件發生的時候,相關部門也會優先考量自己份內的工作,而不願意配合處理或調查。
會出現上述情況,其實都是跨部門溝通出現問題,固然有些公司可能內部未成立資安相關的跨部門工作小組來進行溝通協調,但就算有成立,也不保證上述的現象便不會發生,顯見要做好這件事其實非一般認知的那麼容易。
影響跨部門溝通的因素
資安工作為何難以達到良好的溝通協調,其實可以簡單分為以下幾點:
.彼此認知的差異
這個問題常見於與非資訊相關單位進行溝通協調時會出現的狀況。從事資安工作的人很了解資安問題所帶來的嚴重後果,但如果聽者完全不了解資安的問題與他們有什麼關係,當然也就不會認同那些改善措施或政策的必要性。對絕大部份的人來說,資安問題其實離他們非常遙遠,甚至連什麼是資訊安全都不太了解,若不能用對方可以理解的方式或語言進行溝通,讓別人能理解這些管制措施的必要性,當然也就無法有效推行相關工作。
所以當資安單位與財務部門協調經費、與技術部門訂定資安規範、與一般部門推動資安政策時,很容易因彼此認知的不同而難以取得共識,也就讓資安工作的推動更加困難。業界常流傳的一則笑話:「公司失火了,老闆問,我們不是去年才買了防火牆?從這則笑話中不禁讓人反思,企業組織的管理階層是否真的了解公司的資安防禦作為?而這種認知上的落差,是資安人員在進行溝通時,最常被忽略的議題。
.目標立場不一致
很多時候資安工作的推動,不論是技術上的強化,或是資安管理制度的導入,難免會對員工造成困擾。就資安單位來看,維護資訊安全一定是最終的目標;但就其他部門而言,這樣的目標可能就不是他們的優先考量。尤其在資安政策有可能影響其他部門目標達成的時候,如何透過良好溝通管道營造一個資安願景讓各部門都能共同努力,是一個非常重要的課題。
.權責及參與
很多時候,組織內部很多資安政策的形成,都是資安部門主導,報請主管同意後執行。在這段政策形成的過程中,其他部門很少或很難參與意見,總是在決定後才被告知,因此對資安工作的推動上就少了一點參與感,不但造成了資安部門在進行跨部門溝通上的障礙,也無法形成一個良性的溝通循環。因此資安單位如何運用智慧,建立出一個良好的跨部門溝通機制,擴大員工參與的程度,使各部門承擔更多的責任,才能培養企業員工的資安意識,以真正落實資安政策在每個工作環節之中。
技術硬底子與管理軟實力
隨著資訊技術不斷創新,雲端服務、IOT、FinTech等技術快速發展,伴隨而來的資安挑戰也日益嚴峻。除了資安人員本身需與時俱進,保持一定程度的技術能力外,在管理上更需靠各部門協同合作,與管理高層的授權才有可能發揮組織整體防禦綜效。再強大的資安設備也需要具備專業的人員操作才能善用其功能;同樣的,完善的資安政策,若無所有員工的配合,也只是徒具形式的條文規範而已。唯有透過彼此的良好溝通,才能匯集各個部門的資源發揮最大限度的能力,形成完整的資安防護戰力,將企業的資安防護提升至一個更成熟的境界。