觀點

耳聽八方,調和資安與業務的衝突

2018 / 07 / 23
編輯部
耳聽八方,調和資安與業務的衝突

無論是高階主管或一般同仁的心中,資安常常被認定是業務的絆腳石。稽核是找麻煩的人、資安就是那個一直說不可以的人。但是任職於外資投信服務的黃文志協理,卻以專業知識及掌握業務需求的第一時間,讓資安融入組織作業流程中,降低推動資安的阻力。


如何調和資安與業務的衝突
資安人員如果在業務計畫擬定之後才參與,整個變動會太大,耗費資源與時間,當然困難重重。現今企業面對瞬息萬變的大環境,商業行為大多為見招拆招靈活應變。但安全防禦必須預想未來3-5年的威脅,越早訂定安全策略,就能在業務需求提出的同時,規畫適當的管控機制,與業務需求同時融合進行。

耳朵拉長一點,知道業務在看甚麼? 準備推甚麼?
藉由上司參加毎周高階主管會議,知曉業務或公司的可能動向。平時就讓同仁們及部門主管,體認攻擊的新趨勢,而不是等到在事情當下說“NO”。能與各部門站在一條線上,從整體公司的角度出發,分析各種可能後果,理智的分析與溝通,同仁們會因為理解而配合安全措施。

黃協理平時就不斷分享一些趨勢給IT部門,遇到像WannaCry的新聞事件,引起高階主管的關注,就凸顯出平日及時做好安全更新的價值,IT單位因此開始認同黃協理。也因為這些平時努力,現在行銷與IT部門都會主動諮詢資安單位,以節省大家的時間。畢竟公司內的其他成員,光達到業績目標就很拼了,哪會再關注安全議題?資安防禦不能是單兵作戰,不與大家合作,就不容易抓到整體防禦構面的全貌。

以個資保護為例,不是只有盤點、評鑑,而是當個資運用有新的流程出現時,都經過審慎評估、第一時間合規。例如: 行銷部門與公關公司洽談新一波行銷企劃,公關公司建議不需提供完整個資,只要客戶email,可以增加廣告客群的精準度。黃協理會站在對方立場,先提及目前國內金融業線上行銷屬保守環境,同時提醒我們無法確定對方會如何使用、保護這批email,不等黃協理會同法務部門討論此事,行銷單位就主動撤回需求。

再如,有次IT被CEO問到目前公司資安防護程度如何,IT主管回答說是銅牆鐵壁,黃協理就利用這個回覆,請IT配合強化資安防禦,讓大家一起往銅牆鐵壁的方向走。
資安還是要專責人員,才能洞察機先,才能看到別人沒看到的。

資安宣導 利用時機很重要
常常利用上司參加每周高階主管會議時,傳遞一些業務相關的安全概念。當外界發生資安事件時,更是案例分享的最好時機。金管會的公文要求,也是達到借力使力效果的討論時刻。
運用業務的小空檔來做年度複習課程,加上不定時的資安宣導,目的是要能讓大家養成好習慣,不見得要拘泥於特定型式及頻率。資安宣導的質比量重要,利用恰當的時間點一下,比經常固定時間做惹人厭要好。
資安的溝通要生活化與口語化,即使與CSO溝通也是用白話文,使用一般性辭彙貼近對方的生活經驗而迴避技術用語。例如前陣子流行的變臉詐騙,簡單說明,就是利用CEO的名義發信給CFO來付款,強調CXO都是駭客喜歡攻擊的對象。

CEO問做到這個層度夠好了嗎?
讓CEO瞭解到,目前威脅狀況、防禦措施、及下一步將加強的重點方向。投信主要商品為基金,轉帳周期是每日,其中還有一些作業緩衝時間。在這樣的特性下,來分析主要威脅有DDoS、APT、Data leakage,以及大量內部蠕蟲感染。 

以發生機率及影響程度來看APT、DDoS屬後半段,投信公司DDoS影響也不像網路銀行提供即時交易那麼直接與嚴重,依循公會規劃、有協調ISP提供清洗服務,對投信公司也就夠了。Data leakage 通常不易馬上知道且掌握度低,一旦出事後,舉證責任在企業,舉證之所在敗訴之所在,茲事體大。蠕蟲則會造成內部癱瘓、業務停擺。所以資料保護與蠕蟲威脅會是重要的著力點,同時報告針對這兩項威脅的下一步防護規劃。
對高層的回答,答案不是夠好或不夠好,而是一個簡單的分析,來呈現威脅與防禦的全貌。

資安要與時俱進、勇於調整現狀、因應持續變化的環境
資安要一直往前看,不往前防守就容易被攻陷。目前的關注重點在於資安事件應變機制。除了主管機關要求如果資安事件發生,需儘速提交簡要報告。面對快速變化的網路威脅環境,企業如何配備迅速應變的能力,是現階段必須培育的必要技能。

除此之外,與資安服務廠商的合作也很重要。相對國際水平,國內資安廠商服務能量與水平還有進步空間,掌握客戶需求的能力也還要提升。設備商除了提供解決方案的成熟度資訊,也要考量資安設施融入IT process所花的代價是否過高,所謂的成本,應該包含導入資安方案後的維運成本。IT單位本來就很忙,如果再加上資安防禦的疊床架屋,失敗率鐵定提高。

安全人員的專業與態度,是組織防禦成敗的關鍵。這裡面態度更是一切,願意面對問題、尋思對策、不畏困難、持續溝通,是成功資安