資安工作無法落實的6個原因

落實資安工作
許多資安人員在推動資安管理工作面臨不同的難題。筆者所服務的公司集團本身非常重視資安管理工作，在配套措施上算是相當完整，因此在規劃、預算、採購、評選、溝通、驗證成效、稽核、維護、教育觀念各方面相對較少其他公司組織所遇到的困難，藉此機會想分享筆者一些實務上的經驗。

談到落實的問題，絕大部分資安工作的執行會是在資訊技術部門，就個人實務工作經驗，無法落實的原因有很多，以下是幾個常見的問題，且大多與技術工具沒有太大關聯：


第一、流程沒有寫下來，資安管理工作難以落實：
無法落實資安工作，常見的狀況是沒有「寫」下來的流程，但有流程就能確保安全？那倒不一定，但是有流程程序書基本上會規範權責及作業步驟，這部分至少確立了Accountability，可以去「究責」，也至少能確保某個程度的水準。沒有流程程序書，當相關作業之組織、人員異動，原本「不成文的作業程序」可能就自動人間蒸發，作業管理主管也不容易掌握資安管理工作項目及完整性。

「不成文的作業程序」通常也可能因為權責不清，不連貫而產生效率問題，效率問題也常成為資安工作落實的致命傷。


第二、有流程但沒有設計適當的「控制」或「檢核」，資安管理工作一樣難以落實：
如果資安管理工作有寫下來的作業程序書，且依程序執行，一般而言，在運作一段時間之後，如果程序設計合宜，相對於沒有作業程序書，會讓作業效率有明顯提升。資訊技術部門人員通常對於其工作駕輕就熟之後，例如安裝伺服器，通常不會再看操作程序書，但如果在流程設計上沒有加上一些必要之控制，例如檢查安裝設定值以及檢核產出，是不會知道是否有潛在人為操作錯誤的問題。就筆者的經驗而言，在流程設計時就設計必要之控制及產出，例如檢核表，會比事後要求其提供控制產出要來的容易接受。同時也可以較為即時驗證作業人員是否落實資安管理工作。

控制措施會產生影響一些作業效率，降低系統效能等問題，增加作業成本，但是整體而言，如果將人為疏忽所導致資安事件的損失納入考量，還是有其必要的，資安人必須檢視作業流程使否有適當的控制措施以及如何在安全與效率之間取得平衡，才能使資安管理工作落實。


第三、有「控制」或「檢核」同時也有產出，但是沒人看（Review,覆核）！還是難以持久落實：
我常說，推行資安工作很重要的一件事，就是讓資訊技術部門人員感覺「被需要」以及「工作有價值」，這工作包括資安工作。通常有些「被需要的感覺」是來自於稽核，但是稽核人員畢竟無法也不可能過於頻繁的執行稽核作業，因此無人天天點火加溫。久而久之沒人「需要」，有些基於資安需求的管理工作常被自動消滅。或是當有其他「First Priority」工作指派下來，如有資源排擠的情況，也常會被排擠，在這種情況下，資安工作如何能落實？

但這些資安管理工作產出應該由誰來看？負責資安管理工作部門主管負責作業層面的產出，覆核其產出的品質，在實務上常以授權(Approval)的控制活動呈現，或是負責推行資安的人要看，看的內容通常是管理性的報表。

有些流程控制措施在推行初期，其產出品質可能有問題，執行人員也不斷抱怨，但為了讓這「被需要」感覺持續，通常我都想辦法耐著性子持續要求。久而久之抱怨減少，代表著流程、控制落實到一定程度，之後才要求品質。

但如果資安人您的問題是負責作業的主管或其他管理階層也無意願看，原因可能他看不懂、覺得沒必要，或是其他因素，這跟他對與資安議題重視程度，以及整體公司對於資訊安全、風險的偏好有關，在此先不多談，但身為資安工作推動者，不論是為了稽查、監控的目的或是資安工作策略制訂，您必須要去看這些產出與報告，透過這些產出提供較客觀之分析依據，定義較為實際之資安推廣策略或計畫。此外妥善運用資安事件、稽核缺失等。嘗試將資安管理控制措施安排於作業流程的改善計畫。逐步的去改善這些問題。



四、沒有「改善機制」，也難以落實：
前面談到資安管理工作，我個人觀點就是本質上是談控制，控制措施有些會花錢，例如安裝入侵偵測系統，有些會犧牲一些作業效率，例如覆核、授權，因此如果作業流程控制設計不當，窒礙難行，又缺乏改善機制，資安管理工作也不容易被落實。

關於改善機制，我永遠記得四個字：Plan–Do–Check–Action (PDCA)，最基本的要求，資安人應必須讓自己參與資訊技術相關作業流之程規劃，才有機會將資安管理工作所衍生的控制措施，設計於作業流程之中，甚至包括一些技術性標準（例如系統Configuration設定標準，應用程式開發標準）。作業流程（含控制措施）在首次(Plan)實施之前，並不容易完全確認其設計是否適當，這與經驗與專業有關，但在與執行作業單位對於首次實施達成共識之後，最重要的是應該被落實執行(Do)，才能反映出流程真正問題，多數我碰過的問題是，執行人員在還沒正式實施前，就作業程序書及控制措施反應作業困難，無法執行，其心態上是「不想」執行，而並非「不能」執行。在實施初期，監督者、主管的「堅持」是很重要的。當流程能被重複執行，加上控制產出所提供之資訊，我們才能較客觀的去檢視流程問題(Check)，接下來是擬定改善計畫並執行(Action)，依據這機制不斷循環，將會讓資安管理工作越加成熟，PDCA並非唯一改善機制，許多方法其精神相同，只要公司組織有其適用之改善機制並落實，應都可以達到相同效果。

改善機制並非需要至公司組織最高層級才能運作，有些在部門單位內同樣能運作，如果資安人您面對的問題是公司組織沒有一個改善機制，或是雖然有，但您也無機會參與其中，那何妨嘗試在您所服務的部門內，與直屬主管溝通並嘗試去建立改善機制，如果還是不行，試著由自己可控制的範圍內去實施，雖然可能效果或影響層面不大，但是個必要的開始。


第五、改善「作業品質」與「人員成長」：
前面我所談的「流程」，在我認為，那只是資安工作的馬步功夫，談不上真正能完全解決資安落實的問題，但是當流程能被落實，執行人員的能力與人力是有極限的，這時候是需要一些資訊技術工具來解決「質」與「量」的問題，利用工具解決一些可以取代人的管理工作，藉以將工作量由人身上移出。以維持其一定的品質甚至擴大資安管理範疇（或是常聽到的防禦縱深），將人員的時間控出來，執行進階管理工作或是教育訓練，甚至能適度的休息，達到工作與生活的平衡。
如果沒有，通常資安工作的深度與廣度就停留在某個程度，依照現今資安威脅與攻擊行為發展程度與時效（零時差），防禦能力不進步相對就是落後甚至失效，就我來看，一樣是一個資安工作落實的問題。

市面上沒有所謂完美的工具系統可以解決所有資安問題，資安人員（包括規劃管理與執行人員）人力素質、專業是彌補這缺口的其中一個關鍵，如果從事資安工作人員的素質無法提升，就像3歲小孩駕駛高科技戰鬥機（資訊技術、工具），毫無用武之地。此外，資安人員如果沒有適度的平衡工作與生活，多數人可能作一段時間後便選擇離開，而資安工作就可能因人的異動而不易落實，這是屬於人管理的問題。



第六、「教育資源」的限制？
人員素質在資安管理工作的重要性不亞於技術解決方案，教育訓練是一個方式，也是很快的的方式，然而教育訓練資源投入並不容易具體呈現出效益，因此在許多公司組織常見教育訓練資源遭到排擠。如果公司並非處於經營困難的狀況，一般而言通常是在編列預算時，主管並不知道有需求，或是為什麼需要教育訓練，以及教育訓練項目。這是負責推動資安的人並未將教育訓練需求與公司營運需求或目標加以連結，並與主管妥善溝通。
另一方面，如果企業組織教育訓練資源有限，相對開辦教育訓練的廠商來說就是無需求來源或規模太小，引進課程的質與量就成問題。而形成一個惡性循環，真正需要教育訓練的人也得不到最好的上課品質，當然在專業技能的提升以就相對有限。


結語
專業的資安人員(People)，合適的工具(Technology)加上控制有效的流程(Process)仍然無法完全解決資安問題，而最佳實務也只是將資安所衍生之風險控制在公司組織「可接受」的程度。以上所提到的問題大多與「Technology」沒有太大關聯，甚至有些並不需要投入大筆經費改善，如果您面臨資安工作推展的問題，不妨先想想這6個管理問題吧。