對中小企業來說,資訊人員的數量往往是屈指可數,不僅如此,資訊人員還要包辦所有軟、硬體的維護,包含各類應用系統的開發與維護、作業系統管理、資料庫管理,甚至個人電腦、印表機、網路、伺服器、防火牆、防毒系統、資料備份與災難復原、機房、不斷電系統…等等。而在人力以及資源有限的情況下,光是要確保上述這堆複雜的系統正常運作,又要兼顧資訊安全,是一件非常不容易的任務。
筆者曾經擔任過幾間中小企業的資訊安全顧問,印象深刻的有兩家,一家是從事高爾夫球頭生產的公司,另一家是從事光碟機零組件的公司,公司規模都不超過500人,辦公室電腦數量大約都在100台左右,而這兩家公司有幾個共同點,就是資訊人員都只有一名,老闆對於資安都非常地重視,也投入相當的資源與費用在資安管控上,但是納悶的是為什麼每當病毒肆虐的時候,公司也隨即跟著中毒,競爭對手也永遠都可以些微差距的報價搶得客戶的訂單,到底公司的資訊安全還有哪些不完善的地方呢?
其實,根據資策會的統計,台灣大多數的中小企業都已建置防火牆與防毒系統,甚至網頁、垃圾或病毒郵件的過濾、資料防護、入侵防護等等機制,資安系統的佈建都已具一定程度的投入。然而,儘管擁有完善的資安建置,仍是需要人來維護,而只要有人為介入的環境,不免就會有「蓄意」的風險以及「疏忽」的行為存在,加上中小企業因為人數較少的關係,一旦有任何資安事件,其所造成的影響及損失都將比大企業來得嚴重,以下將針對幾項重點來進行討論。
中小企業3個常見的資安問題:
問題1:職能分工不當與過度授權
中小企業組織較扁平,人數也較精簡,組織中常見的現象就是人人身兼數職,因此,無論是業務的執行或是資訊系統的使用,常因為沒有適當的職能分工而造成作業缺乏獨立性,以上述個案公司的資訊人員為例,兩位資訊人員都掌握了公司所有資訊系統的最高權限帳戶,除了可以在資訊系統上執行任何指令,甚至可以清除所有不法的記錄,而使用者亦可以透過簡單的串謀來取得高度的權限,如果公司缺乏專業的監督,資訊人員以及內部員工幾乎可以隻手遮天,輕鬆的竊取、篡改,甚至藉由販售機密資料來謀取私利。除了可能發生蓄意的風險之外,員工的疏忽亦可能伴隨著過度授權而產生相當程度影響。
如問題1前面所述,中小企業的組織較為精簡,為求效率與方便,許多作業的「執行」與「覆核」幾乎都仰賴同一個人來負責,如此的情況,就如同寫錯字的人再次檢查自己寫的文章,檢查出錯誤的機率將可能比第三方覆核要來得低,且獨立性也備受質疑,而只要是存在人工作業的環境,疏忽是絕對在所難免的,這也是造成資安事件無法有效降低的主要原因之一。適當的職能分工也許會造成人力的增加,甚至是效率的降低,但過度授權所帶來的影響,也許會讓企業經營面臨難以復原的衝擊,企業仍應審慎衡量,在資安事件所帶來的損失與增加人力所增加的成本之間,找出一個適當的平衡點。
問題2:資訊人員淪為救火隊
資訊領域是一門專業,但對於資訊領域的從業人員來說,光是熱門的程式語言就有數十種,每種程式語言的撰寫方式與邏輯也都不盡相同,且常常在你學完某種程式語言後發現自己所學的語言已經淘汰或不適用了,科技進步的速度往往令人措手不及,而除了程式的撰寫之外,網路管理、資料庫管理、硬體維護等,也都需要不同的專門知識,才能妥善的管理與維護。如果您的公司只有一名資訊人員,除了人力負荷可能不足之外,而要這名資訊人員做好資訊安全,得十八般武藝都會,才能在複雜的資訊系統環境中,設置適當的安全控制,這幾乎是一項不可能的任務。
多數中小企業所配置的資訊人員確實明顯不足,就如同個案的這兩間公司,都僅配置一名資訊人員,除了造成過度授權且缺乏覆核機制之外,資訊人員也因過度負荷或因專業知識的不足,而無法提供企業完善的資安防護,加上繁雜的電腦叫修業務,資訊人員經常疲於奔命。這些先天控制的不足,也許節省許多人力與成本的耗費,但其導致的資安損失,可能遠超過節省下來的時間與成本,這也是中小企業不可不審慎面對的重要課題。
許多資安事件的發生往往都是可以預防的,甚至可以藉由眾人之力來協助解決,但多數企業對於資問題2Technollogy People Process安事件的統計與分析都明顯不足,對經常發生或影響較大的事件,都沒有進行適當的了解評估,甚至立即進行補強的作業,所以發生過的資安事件可能很快地又再發了,而這些不斷再發的案件,也是導致資訊人員淪為救火隊的主要原因之一。因此資訊人員在疲於奔命的同時,更應該思考如何突破淪為救火隊的窘境,並協助公司更有效的掌握這些資安風險,最簡單的方法就是統計分析,透過定量的方式找出關鍵風險並對症下藥,避免相同的事件再發生。而面對使用者單位亦可以透過教育訓練,教育使用者進行簡單的故障排除,甚至預防風險再發的檢查等。這些都能大幅降低資訊人員的負荷同時降低企業資安風險,甚至提供更完整的資安現況報告給老闆,讓老闆知道資安投資的成效以及未來可再進行加強之處。相信這些方式,除了能減輕許多不必要的負荷外,更可以讓資安的推動更為順暢。
問題3:缺乏企業經營角度的資安控制
從資安的設計面來看,儘管業界已發表「中小企業資通安全最佳要求與實務導入」,甚至許多顧問公司也都有提出針對中小企業的ISMS標準,以利中小企業可以更有效且更切中要點的掌握資訊安全,但中小企業的資安人員在專業知識面大多專注在資訊技術上,普遍缺乏企業經營的思維,因此風險與資安佈建之間的關係,資訊人員大多無法很明確的指出。舉例來說,當詢問資安人員如何做好資安防護,多數的人都會都很清楚回答要:安裝防火牆、防毒系統、機密資料要加密,但如果進一步詢問安裝防火牆與防毒系統的目的,大多會回答:防止駭客與病毒,但這會是企業所要的答案嗎?
其實防止駭客與病毒入侵僅是一個眾所皆知的課題,而避免機密資料外洩導致企業的競爭力降低、防止病毒肆虐導致企業生產中斷、企業形象受損等等才是執行資安的真正目的,所以,正確的思考方向應該是:「要避免企業競爭力降低與營運中斷,我應該做好哪些資安控制?」,而非:「要避免中毒與駭客入侵,我應該做哪些資安控制?」如此所展開出來的控制活動才能真正滿足企業要求。
除了以企業經營的角度來思考資安目的之外,尋找資安管控標的也必須具有企業的思維。到底哪些機密資料要加密,多數的資安人員可能都認為只要跟價格、數字有關的都是算是機密資料,但事實上並不完全正確,畢竟每間公司的先天環境不同,其所要管控的資安標的也會有所不同。舉例來說,設計公司最重要的機密資料可能是設計稿,代工公司最重要的機密資料可能是客戶資料,銷售公司最重要的機密資料可能是售價與成本結構等等,而這些都必須以企業經營的角度來思考,才能找出正確的資安標的與範圍,除此之外,機密資料的重要程度也必須以宏觀的企業觀點來審視,哪些機密資料的控制要加重,哪些可以放輕,這些都是需要評估並拿捏取捨的,做資安並非為了心安,也不是所有控制都做,但卻都不完整,造成到處都有小漏洞,或是所有控制都做到100分,但卻造成效率大幅的降低,甚至浪費許多不必要的資源與成本。關鍵的重點在於要懂得如何以20%的資源來掌握80%的資安風險。
標準給了你方向,但不代表照著做就是最佳指引,如果資訊安全沒有量身訂做,只是按表操課或是模仿的話,那肯定是會漏洞百出。
中小企業如何抓對重點做資安
規模較大的公司分工較細,在層層的監控與覆核之下,問題將很容易被偵測到並予以解決,而中小企業因為規模比例的關係,只要一個小小的環節沒有注意,其所可能引發的風險將會非常地廣,影響也將非常地大。但換個角度來看,大企業想要掌握一個較高的風險,可能得在許許多多的環節上進行控制才得以降低,反觀中小企業,只要掌握任一個小環節,便可避免眾多的高風險,所以只要從小地方著手,相信中小企業也可以輕鬆掌握資安。
1. 至少2名資訊人員,相互監督,適當職能分工以避免過度授權。
2. 不再只當救火隊。資訊人員應做資安事件的統計分析,找出關鍵風險並對症下藥,避免相同事件一再發生。
3. 問對問題,以企業營運重點需求規劃資安標的、範圍與控制措施。
e化後,老闆該如何保護公司資產,4月21日於台北國際資訊安全展中同期舉辦「網路巨浪 企業勝出」關鍵論壇,歡迎踴躍參加,詳情請點下方連結。
