想什麼：資安人的決策與思維

2018 / 08 / 30

編輯部

遠鑫電子票證資訊服務部副總經理梁家榮舉例，經常遇到同仁說：「我要做xx事」，請問這件事到底是需要？要想？還是必要？如果你把對方的想要當作是你的必要，你會永遠沒完沒了，因為人想要的東西隨時會改，問題的解決就無法一次到位，結果就是讓自己每天疲於奔命。

中華資安國際董事長陳振楠認為資安工作的策略方向很重要，如同您「寫下您所說的，做您所寫的」，先把目標訂定下來，然後以策略思路來規劃執行，逐步朝目標接近。寫下你所說的，可以當作是想建置運作的資安管理系統；而做你所寫的，則像是實際執行的手段，包括作業流程、產品與技術等。前面兩篇所提資安人面對的挑戰與安全管理制度，都是具體有形的事物，本文要談的是，當要進行決策後的執行，決策之前，我該是如何想的，作為資安

從業人員，我的思維方式又該如何呢?

想要？需要？還是必要？
當組織完成了管理制度並持續運作後，只要依制度運作，配合適當的策略方向，一切工作就可以順利推動嗎？其實不然，資訊人員每天還是需要面對來自不同單位所提出的各種問題。

遠鑫電子票證資訊服務部副總經理梁家榮認為執行者或是決策者要嘗試提高讓自己看待事物的格局，才能知道應該如何運用手上現有的資源來解決核心的問題。陳振楠也建議，協理應站在副總的位置想，副總要站在總經理的位置思考，這樣思維才不會自我設限。所以，當決策者遇到問題時，有時不要直覺的想立刻解決它，而應該先釐清問題的本質，為首重。

ROID直指問題核心
當問題來臨時，資安決策者要能區分問題的核心為何？有時候問題的產生，有可能是基於個人的情緒反應或個人認知面向，因此此時，我們可透過 Objective (客觀事實) – Reflective (感受反應) –Interpretative (意義價值) –Decisional (行動決定)的ORID焦點討論法，客觀的解問題本身，才能直指問題核心，並且從根本處解決問題。所以當狀況出現時，資安人第一個要問的是：是否真要處理？梁家榮舉例，當發現公司產品圖檔被竊時，如果該檔案已經是公開的資料，這時處理的重點就應該放在為何會被竊？而不是圖檔內容的本身。

一旦決定採取行動，第二個要問的是，做了會如何？期望達到什麼效果？是不是有其他的選擇？有時候決定權不在你的話，即便努力去做也難有成果。這時候管理者可試著用RACI矩陣模型(Accountable當責; Responsible負責; Consult諮詢; I知會)，分析各項工作中所有關係人在行動裡所扮演的角色，進而發現是否有工作分配不均、責任歸屬不明，甚至是管理多頭馬車情況問題產生。
梁家榮再次強調，思考決策的本質，是想要？需要？還是必要？是否能以最少的資源一次解決所有問題呢？他分享，當他在電商任職，面對駭客的攻擊時，他只做兩件事，一是將現有IT改為Terminal Server架構；另外建置PKI取代原有的帳號、密碼認證，一次徹底解決入侵問題。

資安人的職涯規劃
資安從業人員剛邁入職場時，通常是以現場的操作維運為主要工作內容，這時期主要在發揮個人專業技術，並累積實務經驗。隨著年資的增加，從技術人員升任為主管職務後，除了技術之外也開始接觸管理職的工作，這時候就就需要開始學習，如何透過系統化的管理方式進行有效處理相關資安事務。最後有機會再進階成為公司高層單位時，再提昇培養自己的資安決策思維，就是需將自己的視野再拉高，才能看清楚事情的原貌，於事件來臨前做好萬全的準備。

如同，梁家榮所說「主事者格局決定看待事情的角度，而角度會影響觀點，觀點會產生目標，目標就決定命題，命題再衍生需求，需求就有方案，方案再找資源，有資源後能執行，執行完變結果。然後主事者再將最後的結果與當初的目的兩相比較是否相符，彼此環環相扣，永遠把思維拉高一級去考量，資安人的職涯發展才能走的更穩、更遠。」。

資安策略資安管理