只有考慮「最」安全的想法,其實是一個錯誤的資安觀念。正確的作法是要思考,適當的安全保障是多少?
如果你家門口裝了10道鎖,每天上下班時都要上鎖或開鎖十次。不出2個禮拜,最後你每天只會鎖住最主要的那道鎖。為什麼不會使用全部的鎖,因為人性,太麻煩了反而窒礙難行。可是,你家裡若放了3億元現金,恐怕連鎖10道,你都不嫌麻煩。
很多人談到資安,多半會強調技術的必要性,認為要善用技術來解決各種安全問題,不斷鼓吹企業要採用更安全的資安技術,講究絕對安全。這就像是認為門上裝的鎖越多就會越安全,其實不然,企業要考慮的是風險和安全措施的對稱性。
只有考慮「最」安全的想法,其實是一個錯誤的資安觀念。正確的作法是要思考,適當的安全保障是多少?例如購買一輛摩托車要花5萬元,被偷的風險有多高?金 錢損失5萬元,再加上造成的不便,最多7、8萬元的風險。為了保證這8萬元的財產,每年應該支付多少錢才划算呢?這是可以估算出來的數字。如果,你每年花 10萬元做防盜措施,那就是太超過的作法。但你若是買了一臺價值上千萬元的法拉利跑車,卻捨不得花10萬元來安裝防盜設備,這也是很愚蠢的作法。
如果你居住的社區小偷猖獗,你太太建議在門口加裝新鎖。你到五金店找了你能負擔的最好鎖頭,但是,店家告訴你,這個鎖頭不能保證百分之百的安全,你買不 買?如果裝了新鎖頭後,可以比現在更安全,以前小偷開鎖要花5秒鐘,現在要花5分鐘。或者是裝了新鎖讓你家比鄰居更安全,開鄰居的鎖要10秒鐘,但開你家 的鎖要10分鐘,那就值得購買。安全措施的風險也是相對的。
一昧注重技術安全其實是不夠安全。很多實際的情況是,技術夠安全,但人員管理不當還是會發生問題,像是在今年初,連安全保護非常嚴謹的瑞士銀行業者,也都傳出了遭內賊竊取客戶帳戶資料的事件。
美國曾有機構統計洩密事件的發生原因,半數來自內賊的問題。但是,企業級的資安技術大多是用來防外人,比較少見防內賊的機制。基本上,除了技術以外,企業還是得搭配管理手法來解決資安問題。
尤其在工作場合中,常會有一些令人為難的資安情況發生,例如當你休假或出差時,你的主管要你交出個人的帳號密碼,你給不給?你能不能給?憑什麼不給?或者 是你擔任機房管理人員,總經理要帶朋友進去參觀,你應該放行嗎?要不要辦理登記手續?你能不能不放行?還有一種常見情況,你的部屬將密碼寫在黃紙條上,貼 在電腦上面,你該不該管?你憑什麼管?
儘管企業導入再好的技術產品,只要發生上面提到的這些行為,就會讓技術失效。即使先前我曾提過,IT系統必須落實責任分工,才能防錯除弊,但若無法有效阻止主管取得員工的帳號密碼,分工還是假的,有不少洩密案的內賊都是主管階層,交出密碼的基層員工只是代罪羔羊。
很多企業沒有明文規定這些安全要求,而是由員工自行判斷,通常員工最後多半還是會答應主管交出密碼。企業必須將這些要求明確地記錄下來,建立一套資訊安全 的SOP。基層員工才有理由來拒絕主管的不合理要求,或是交出密碼後立即通知稽核單位處理,避免成為究責對象,這樣才能保護基層、保障公司的安全。資安技 術必須加上管理配套才能真正發揮成效。口述⊙范錚強,整理⊙王宏仁
作者簡介:
范錚強-中央大學管理學院特聘教授
曾任國立中央大學資管系主任多年,任內創立資管所碩士班,曾應邀到北京大學光華管理學院任客座教授。學術方面,擔任過中華民國資訊管理學會第一、二屆常務 理事,以及第三、四屆理事長。范教授長期擔任多項政府專案審查人,包括經濟部軟五計畫、ABCDE計畫、企業體系電子化計畫、商業體系電子化計畫、物流運 籌業電子化計畫、行政院科技顧問組旗艦計畫等。
轉自ITHOME
如果你家門口裝了10道鎖,每天上下班時都要上鎖或開鎖十次。不出2個禮拜,最後你每天只會鎖住最主要的那道鎖。為什麼不會使用全部的鎖,因為人性,太麻煩了反而窒礙難行。可是,你家裡若放了3億元現金,恐怕連鎖10道,你都不嫌麻煩。
很多人談到資安,多半會強調技術的必要性,認為要善用技術來解決各種安全問題,不斷鼓吹企業要採用更安全的資安技術,講究絕對安全。這就像是認為門上裝的鎖越多就會越安全,其實不然,企業要考慮的是風險和安全措施的對稱性。
只有考慮「最」安全的想法,其實是一個錯誤的資安觀念。正確的作法是要思考,適當的安全保障是多少?例如購買一輛摩托車要花5萬元,被偷的風險有多高?金 錢損失5萬元,再加上造成的不便,最多7、8萬元的風險。為了保證這8萬元的財產,每年應該支付多少錢才划算呢?這是可以估算出來的數字。如果,你每年花 10萬元做防盜措施,那就是太超過的作法。但你若是買了一臺價值上千萬元的法拉利跑車,卻捨不得花10萬元來安裝防盜設備,這也是很愚蠢的作法。
如果你居住的社區小偷猖獗,你太太建議在門口加裝新鎖。你到五金店找了你能負擔的最好鎖頭,但是,店家告訴你,這個鎖頭不能保證百分之百的安全,你買不 買?如果裝了新鎖頭後,可以比現在更安全,以前小偷開鎖要花5秒鐘,現在要花5分鐘。或者是裝了新鎖讓你家比鄰居更安全,開鄰居的鎖要10秒鐘,但開你家 的鎖要10分鐘,那就值得購買。安全措施的風險也是相對的。
一昧注重技術安全其實是不夠安全。很多實際的情況是,技術夠安全,但人員管理不當還是會發生問題,像是在今年初,連安全保護非常嚴謹的瑞士銀行業者,也都傳出了遭內賊竊取客戶帳戶資料的事件。
美國曾有機構統計洩密事件的發生原因,半數來自內賊的問題。但是,企業級的資安技術大多是用來防外人,比較少見防內賊的機制。基本上,除了技術以外,企業還是得搭配管理手法來解決資安問題。
尤其在工作場合中,常會有一些令人為難的資安情況發生,例如當你休假或出差時,你的主管要你交出個人的帳號密碼,你給不給?你能不能給?憑什麼不給?或者 是你擔任機房管理人員,總經理要帶朋友進去參觀,你應該放行嗎?要不要辦理登記手續?你能不能不放行?還有一種常見情況,你的部屬將密碼寫在黃紙條上,貼 在電腦上面,你該不該管?你憑什麼管?
儘管企業導入再好的技術產品,只要發生上面提到的這些行為,就會讓技術失效。即使先前我曾提過,IT系統必須落實責任分工,才能防錯除弊,但若無法有效阻止主管取得員工的帳號密碼,分工還是假的,有不少洩密案的內賊都是主管階層,交出密碼的基層員工只是代罪羔羊。
很多企業沒有明文規定這些安全要求,而是由員工自行判斷,通常員工最後多半還是會答應主管交出密碼。企業必須將這些要求明確地記錄下來,建立一套資訊安全 的SOP。基層員工才有理由來拒絕主管的不合理要求,或是交出密碼後立即通知稽核單位處理,避免成為究責對象,這樣才能保護基層、保障公司的安全。資安技 術必須加上管理配套才能真正發揮成效。口述⊙范錚強,整理⊙王宏仁
作者簡介:
范錚強-中央大學管理學院特聘教授
曾任國立中央大學資管系主任多年,任內創立資管所碩士班,曾應邀到北京大學光華管理學院任客座教授。學術方面,擔任過中華民國資訊管理學會第一、二屆常務 理事,以及第三、四屆理事長。范教授長期擔任多項政府專案審查人,包括經濟部軟五計畫、ABCDE計畫、企業體系電子化計畫、商業體系電子化計畫、物流運 籌業電子化計畫、行政院科技顧問組旗艦計畫等。
轉自ITHOME
0 意見: