資訊安全內化為企業價值

梁國屏 趨勢科技全球研發暨資訊執行副總

我們最近特別關注資訊安全，你們可能覺得很奇怪，本身就是提供資訊安全產品與服務的公司，為什麼還需要特別重視？雖然我們的產品屬於資訊安全的一環，然而這與整個公司的IT仍然是兩回事。而且我認為以CIO而言，如果你最近沒有優先考量資訊安全，將面臨到很大的問題。

防禦性價值是企業價值的根本

綜觀全球，你是否注意到近一年來有關資訊安全的問題與新聞事件層出不窮？像美國信用卡與個人資料收集公司ChoicePoint發生14多萬筆顧客資料外洩事件；Lexis-Nexis公司年初發生30萬筆個人資料失竊的事件；上個月花旗集團顧客財務部「花旗資融」（CitiFinancial）也爆發資料遺失事件，UPS在運送過程中遺失一箱未加密備份磁帶，裡面有390萬筆客戶資料。

美國參議院為此提出新法案「個人資料隱私與安全法 」（Personal Data Privacy and Security Act），要求企業在處理客戶與員工資料時，必須提出適當的保障。 對於企業IT來說，這變成一個很有趣的問題，我們身處IT這一行，首要考量的就是利用IT讓公司營運更順暢、賺更多錢，屬於一個正面性提升公司價值的工作。對公司來說，一切的目標若非增加利潤，即是減少成本。

為了要達到上述兩種目標，保管好資料是IT的基本盤，萬一弄丟你的客戶資料或甚至危害到客戶系統，對企業商譽造成難以估計的重大損失。相較於過去，很多公司當時並不認為應優先考量資訊安全，因為這種防禦性的作法，固然能使你不會喪失既有價值，卻也無法具體增加新的正向價值。

人員不設防是資安頭號威脅

資訊安全的第一大罪魁禍首就是「人」，大部分問題都來自人，而非系統，安全不能和便利性劃上等號。駭客史上有名的Kevin Mitnick曾經表示，一家公司最大的資安威脅不是電腦病毒，也不是亟待修補的重要應用系統漏洞，或是設定得很差的防火牆，而是「員工」。這凸顯了人員的教育訓練及訂定資安政策是落實資訊安全的關鍵。人必須經由訓練進一步認知資訊安全的重要性，藉由定期稽核，可檢視訓練的結果，驗證實際防禦績效，同時也要搭配獎懲，才能夠產生效果，單靠「對」的IT設備主導全局，用最安全的電腦和政策控管，讓使用者就不會踰矩，最後還是道高一尺，魔高一丈，因為「洞」跑不掉。

只要人為有疏失，就會造成很大的安全威脅，而明定資安政策，可以建立責任歸屬。例如定義每位員工應扮演的角色，需主動支援、維護、監控哪些與安全相關的實務。如果不訂定，會被認為是IT部門的工作，然而IT是整個公司的事務，IT人員只是協助執行的人。

CIO把握宣導時機，以身作則，隨時提醒使用者不安全的行為，也會產生一些成效，比如在開會報告時，有時電腦無法透過投影機播映畫面，需要換另一部電腦報告，有人會利用USB隨身碟交換檔案，身為一個主管看到，你就有義務提醒這樣的存取很危險，IT人員不可能一直都在所有使用者身邊耳提面命。

資訊安全怎麼做才夠？

對一個CIO來說，必須要認真考慮資訊安全的目的，其中，了解需要達到的程度很重要，但是這要以整個公司的角度來執行決策，從公司整體來看需要的安全等級，不能只依賴IT人的主觀判斷。

假設公司經營類似eBay或Amazon等重度依賴線上交易的網站，如果大家不信任網站這個平臺，就沒有生意，因此網站必須要達到很高的層級。而對一些不提供網路下單的公司，網站也許不需要這麼安全，伺服器上的資料，不牽涉到營運，即使首頁被侵入修改，雖然名譽受損，也不會對公司流程造成顯著傷害。

面對資訊安全，主事者應區分企業需要的安全等級與優先順序，不同的事務也應設置不同等級。像一般內部員工資料管理，安全性可以再低一點。安全程度端賴公司需求，而非由IT作主。由於企業往往需要購買許多產品確保資訊夠安全，採購多少設備，同樣要看這些威脅造成的影響有多嚴重。採訪整理⊙李宗翰