TOP
 
 

要做到多安全 才算安全

根據2017年經濟學人調查,資安已成為國際企業高階主管不安全感的首選。圖/取自Pixabay網站

文/吳明璋 韋萊韜悅企業風險管理與經紀服務協理

在中華公司治理協會董監事資安治理課程中,金融集團董事長問我一個問題:我們都知道駭客防不勝防。在資源有限的情況之下,要做到多安全才算是安全?

以他累積投資長、策略長、風控長及財務長的歷練,他問出這個挑戰性的問題。過去五年來,已有15位高階主管或總經理因資安事件去職。2014年,國際零售業總座、資安長為駭客事件下台。同年,網路巨擘總經理也身陷泥沼,離職後無法享有豐厚的紅利與股利。3年之後,美國信用卡中心總座掛冠求去。根據2017年經濟學人調查,資安已成為國際企業高階主管不安全感的首選。我們借用叢林求生術與成熟安全系統觀念,試圖為這個問題提出新的方向。

叢林求生術

深陷於駭客的掠奪廝殺中,企業總經理、資安主管無一倖免。這種場景天天在叢林上演。在叢林中如何求生存?

這個腦筋急轉彎的答案並不是跑得比獅子快,而是跑得比同伴快。適者生存成為生物演化的法則。在掠食者的壓力之下,適應力越來越好;反之,沒有威脅的環境,容易偏安。一旦外來敵人入侵、既有生態圈劇變,缺乏演化力生物就無法生存。除了掌握同一生態圈掠食者動態,也要隨時監控跨區外來的敵人。

過去企業把駭客當作是IT問題,找技術廠商、找解決方案。一旦企業主管觀念一轉,把駭客視為商場競爭敵人,就知道下一步該怎麼做。其中,應變團隊與風險方案缺一不可。

成熟安全系統

生活中成熟的系統有助於理解實體的安全感。以交通系統為例,交通規則是人車的遊戲規則,紅綠燈則以科技掌控人車的行為。萬一發生路況或巨災,人車切換到不同的道路,甚至使用多樣的交通工具以抵達目的地。這就是我觀察日常生活中,一個成熟的安全系統可同時兼顧:規則、控制與選擇三個原則。

從資安的角度,公司政策建立員工的遊戲規則,透過科技追蹤異常的行為。從過去技術導向的思維,往往我們被迫「選邊站」。何謂技術上的「選邊站」?科技發展的軌跡會有一定的相依性。舉例來說,Android 作業系統無法在iPhone手機上運作,僅能安裝在Android手機。從技術的相依性來看,資安系統也是如此。當你選擇方案A,很難一下子改到方案B。

倘若從企業生存的角度,「持續營運」打破科技相依性的慣例。在還沒發生資安事件之前,企業可有寬裕時間集合專家意見,研擬企業可行的方案。以「三隻小豬」為例,豬小弟一開始被其他人笑傻。當茅屋與木屋都被攻破,豬小弟成為大家的方案C。而不是萬一發生事件,高階主管坐如困城、一籌莫展。一旦開始思考方案A到Z可行性,便啟動「防範於未然」的風險思維。

在真實的世界中,系統大多是新舊混搭,很難一下子打掉重練。既然一開始就蓋好茅屋,到底下一步怎麼辦?從風險管理的角度,或許不是將茅屋翻新為石屋。而是先蓋木屋,以便逐步取代茅屋。在系統世代交替的轉換過程,編列資安風險管理預算得以面對意外後的應急設備、內部團隊、外部專家,以及保險。

從過去二十年國外資安事件的經驗與教訓得知,資安2.0須改變為風險管理思維。駭客想辦法繞過ISO標準與技術控制。面對新一代的駭客攻擊,要防止駭客「木馬屠城記」戰略,而非一味的強化「銅牆鐵壁」。政府推動的資安法,也都是朝向韌性管理的方向在導引。即使上述可行方案最後都沒用到,在這個過程中培養團隊敏捷力,也有助於在這個多變脆弱的環境中適應生存。
>>訂閱名家評論周報,關心全球財經大小事


延伸閱讀

資安最大的風險是人

新式數位身分證(New eID)引發的疑慮

省思科技文明病的根源和治理

推動數位經濟基礎建設

差異化監理 共築金融穩固根基

 

工商時報名家廣場,供名家、讀者針砭時局,發表其多元觀點。

名家廣場