今日應該鮮少有企業的運作能夠脫離對網路及資訊系統的依賴,但是又有多少企業的經營者對於網路與資訊安全有充足的認識與瞭解呢?
根據最近一期的CIO大調查(Y2020~2021),企業的CIO直接向CEO報告的比例從過去的45%上升至70.9%,這雖然代表著企業對IT部門的重視程度正在提高,但卻不等同於資訊安全的問題已得到應有重視。
因為同一份CIO大調查報告也顯示出企業的IT預算,最主要還是花在基礎架構的採購,包括:伺服器、雲端服務、儲存設備、及網路設備仍佔據企業IT預算的前四項主要支出,即使報告中「增加資安投資」已進入排名內,但實際的預算支出規模仍遠遠落在後面。
CEO關心的是提高效率&降低成本
我不禁好奇的想問:為什麼CIO可以不直接報告給CEO? 如同大家的理解、網路與資訊系統對於多數企業的重要性是毋庸置疑的,但是仍有高達三成的CEO不會直接參與及瞭解IT相關的事務,所以、更遑論CEO能夠體會到資訊安全的重要性及應有的投資比重。
因為在許多企業CEO的思維中,IT就是一個後勤的服務提供單位、簡而言之就是一個很花錢、但又不能沒有的部門 ; 因此、每當IT部門提出預算要求時CEO總是會質疑:這些錢現在一定要花嗎?花了這些錢之後可以提升多少產值啊?所以、導致CIO們對企業IT的投資也會隨之以「提高效率」或「降低成本」作為主要訴求,這也就形成了今天多數企業「明知資安很重要、但花錢時卻變得沒有那麼必要!」的奇怪現象。
不是花大錢才能做好資安
多數是因為CEO不關心與不瞭解網路與資訊系統,所以也很難理解為什麼當網路及資訊系統出現安全的問題,會影響企業的運作、甚至是讓企業經營因此陷入危機。
更因為如此,多數的企業有IT部門、卻未必有專責的資訊安全人員,更普遍的情況是CIO兼任著企業的CSO(Chief Security Officer),但是實務上而言、如前述CIO關心的是如何使資訊系統的運作更有效率、及如何降低的成本,但CSO應該關注的卻是:如何讓企業免於曝露在網路攻擊與資訊系統被入侵的安全風險之下,其範疇並非僅是資訊系統的效能、更重要的是安全,其中還包括了企業內部的流程管理、內部稽核與控制系統、個人資料保護等等。因此、這兩者的角色功能看似雷同、但卻是彼此互斥,甚至有類似球員與裁判般的衝突,而當兩者角色重疊、也就成為許多企業最終很難將資安落實做好的原因之一。
事實上、用IT的觀點做資安工作、確實比較容易陷入「資安就是要花大錢」的迷思,其原因就是:傳統資訊系統的建置就是以硬體+軟體採購為主,但是資安真正的核心卻是「服務」!因為網路攻擊與駭客的行為是不斷地在改變,沒有哪一套硬體設備或是軟體可以保證絕對不會被攻破、或是絕對可以萬無一失!重要的是如何讓企業的資安防護措施,持續保持在最能因應當下變化的狀態,但企業的IT購買硬體、購買軟體就是要附贈服務,但這樣的服務真的是專業的嗎?
我看過許多的案例:企業花大錢買昂貴的防火牆系統,但內部的IT人員卻不具備調校防火牆「關聯規則」的能力,供應商也不是資安專業的廠商,只是價格最有優勢的代理或SI廠商,因此、從購入設備的第一天到最後這個設備被淘汰更新,能夠讓它發揮作用的最重要關鍵設定就是停在出廠值、從未被動過!甚至、更多情況是設備早就已經「終止服務」(End of Service)或是國外原廠已經退出台灣市場了(或是被其他公司併購)這個設備都仍裝在公司裡,所以、設備未必真正發揮應有的功能,購置這個設備就是買一個心安而已。
企業資安需要的是戰略層級的思維(Strategic Thinking)
相信企業的領導者都清楚知道幾個常見的商業運作準則,例如:貨物交付海運或空運必然會依據其價值辦理保險,顯而易見的就是運輸過程的風險必須有所保障 ; 又例如:保險公司承接醫療或是人壽保險,會根據被保險人的年齡、健康狀況、甚至是必須先提供當下的健康檢查報告,才能夠依據其結果判斷是否核保、及可以投保的理賠金額,其目的也是要在風險可控的狀況下做生意。
而從這些常見的商業運作準則所展現的避險觀念不難理解,企業的經營其實就是一個不斷面臨挑戰和冒險突圍的過程,而企業要能夠永續經營、所需要的正是能夠在過程中不斷地克服困難及規避風險,然而現今已是萬物聯網的時代、企業已不再因產業類別而有所差異,幾乎所有的產業都無法避免的與無線網路或資訊化工具有著密切的連結,而這麼關鍵重要的生產工具與環境,卻充滿著不可控的風險因素,作為企業的經營者怎麼能夠視而不見?又怎麼能不積極地管理這些風險呢?因此、CEO對資安至少應有下列幾項策略層級的認識:
- 遭受網路資訊安全威脅不再是 政府、金融、能源等等關鍵基礎機構的專利!
近年來已經有大量的 半導體、電子及3C產品生產、傳統製造業、服務業 等遭受到攻擊和勒索,即便遭到攻擊的企業都宣稱具有極為完備的資安防護措施,但仍無法倖免於難。
- 網路資訊安全並非必然是一般IT人員的專業!
即使是學資訊工程的專業也未必是真的懂「網路資訊安全」,在資訊工程的領域如同醫學系也有 內、外科,婦產科、心臟科..等等不同的專業一樣,千萬不要再要求原有的IT必須兼職做資安的工作了,想像一下:你敢請一位牙醫幫你動心血管手術嗎?請委由專業、專責的資安人員協助企業做好資安工作。
- 網路資訊安全不是築一道防火牆就可以高枕無憂!
不要再用購置生財器具的觀念來做資安了!因為網路資訊安全是一場不斷在變化的戰爭,就像是企業在市場上與競業不斷地相互競爭一樣,我們必須不斷的提防競爭對手攻進我們的市場搶走我們的客戶,企業不可能一成不變、或是購置一套機器生產之後,就可以不必再做任何創新、甚至從此不需再做研發新產品的工作 ; 同樣的道理、駭客會不斷地透過不同的方式企圖滲透進入企業,或是企業內鬼會惡意的外洩公司機密或客戶個資,這些都是企業必須面對的網路資訊安全挑戰,無法用單一手段就能解決的問題,因此、網路資訊安全的工作必須是一個長期的企業政策。
- 網路資訊安全必須提升至公司治理的層級!
因為從企業經營的角度而言,網路資訊安全影響的不僅是公司的營運效能,更有可能對企業的重大利益、聲譽、持續營運等等產生極大的影響,所以、企業不應再將資安視為資訊部門的一部分,而應該將層級提升、並且能夠由公司領導決策層級制定資安的政策框架,避免基層執行者因權限不足或無法擔負如此巨大的責任,而保守以對或是裹足不前,反而致使企業低估網路資訊安全風險、或是因缺乏可遵行的政策而徒增內部溝通的流程,導致無法及時有效反應資安相關危機。
- 網路資訊安全真正的挑戰是政策的落實!
再怎麼昂貴的硬體保護、再強大的軟體功能,都抵擋不住一個人為的疏漏,就如同資安業界最常聊到的一個笑話:當發生資安事件的第一動作就是檢查老闆的電腦,因為唯一的例外與破口最常發生在那裡!坦白說,網路資訊安全不必然是花大錢才能做好,但捨不得花錢當然不容易做到完善,可是相較於預算的投入規模,對於資安影響更大的是公司高層的態度,因為要做好資安就必須有「不厭其煩」的管控措施,包括:電腦設備存取的限制、相關設備的密碼管理、外部聯網的控管…等等,當企業從上到下都有正確的觀念、能確實遵守應有的規範,那麼企業的網路資訊安全一定可以達到一定的安全水準。
CEO決定了企業的資安健康指數
企業領導人切勿因為不是資訊專業背景而無視資安的重要!因為、正如大家所預期無線網路的發展將會更加迅速,今日已是5G聯網爆發成長的世代,應用服務也將從實體的資訊系統(On private IT)快速遷移到雲端(Cloud),在這些環境與技術的變革過程中,一直沒有改變的就是應該要如何確保系統與資料的安全,只是過去缺乏迅速方便的網路環境,所以即使有風險、但是病毒無法快速深入與擴散,所以企業有足夠的時間防禦與圍堵,但現在的網路環境變得更快、更方便,企業對網路與資訊系統的應用越加依賴,所以一旦發生問題將很容易演變成重大的災難。
企業必須隨著科技的發展與潮流不斷的進步,而作為領導企業的CEO更應該及時地掌握趨勢的脈動,並且對企業的未來做出最好的指引,網路資訊安全已經成為未來企業經營的重大風險之一,無論企業CEO的專業背景是什麼、都不應該再置身事外,應透過建立正確的資安策略思維、並且合理投資企業的資安人才與環境,必能建構一個健全且完善的企業資安防護機制 ; 而且、一個企業的資安是否做得好?是否值得信賴?端看企業CEO對於資安的認知程度與態度即可窺知一二,據此、企業的CEO。實在應該從自身開始改變,帶動企業重視資安的觀念,這不僅可以降低企業經營的風險、更是企業社會責任的展現,畢竟資安所涉及的層面也包括公司、及客戶個資與機敏資料的保護。
我相信多數企業CEO並非不重視資安、只是過去多數做資訊安全決策時都只著重在技術層面的溝通,而缺乏觀念上的釐清與建構,所以、我由衷的期望看見台灣的企業能重視資訊安全、並用正確的觀念投資做好資安工作,而CEO也會是企業資訊安全是否能夠成功做好的關鍵。
本文為投稿文章,不代表社方立場。作者:郭憲誌 / 數聯資安總經理 / 中華民國資訊軟體協會理事 暨 資安促進會會長。