管制越多，不一定越安全

最近在研討會中遇到一群臺灣企業的CIO，他們熱切地討論企業內部的資訊安全問題。很多CIO認為，只要添購更多資安設備，就能夠提高企業的安全性。但是，我的看法卻和在場的CIO不一樣。我認為，安全是相對的，不見得管制越多就一定越安全。

舉一個實際發生的例子，有位任職於政府機關的員工告訴我，他所任職的單位為了達到非常高的安全等級要求，單位資訊主管規定，任何使用者帳號的密碼至少要設定12碼，而且必須混用英文字母和數字。除此之外，每個人還要每周更換密碼，用過的密碼不能重複。

這個機關實施的帳號管控措施，看起來有非常高的安全性，但是，當我到這個機關參訪時發現，每個人的電腦前都貼上一張黃色便條紙，記載最新的登入密碼。任何人只要取得這張紙條，就可以冒用他人身分登入系統，非常不安全。

從技術面來看，這樣嚴密的帳號管制方式的確比較安全，可是，在實體運作上卻衍生了更高風險的結果。管制太多，安全性反而會下降。

另一個常見的例子，則是單一登入帳號的安全問題。有些企業為了避免外洩一組帳號導致共用帳號的系統被連鎖入侵，主管會要求員工在每一套系統中使用不同的帳號和密碼。如果，企業有20套資訊系統，每一套都這樣做，員工很難記住20組帳號密碼，同樣道理，員工只好寫在便條紙上。這樣會比較安全嗎？

很多CIO只是線性地思考企業安全問題，誤以為管制越多，就會越安全，其實不然。當企業為了安全目的而增加管制機制時，系統的易用性就降低。系統越難使用，就會逼得使用者想盡辦法繞過系統讓它好用，那時候反而就不安全，這就是人性，必須有配套的管理機制才會發揮作用。

以上面的例子來說，這個機關若要落實這套帳號管理方法，必須規定凡將密碼寫在紙條的人一律開除，而且也實際因此而開除幾名員工，這樣就能讓員工確實執行。以前我在美國任職的公司就是這樣執行，凡員工在紙條上記錄私人密碼被發現，一律以違反工作保密協定的原因開除。

安全不只是技術面的安全，而是要技術加上管理，兩者相輔相成，考慮到人性面的因素來落實。技術面的機制做的過火，反而就不安全。

當然，配套的管理機制也必須合理，而不是盲目地不斷投入資源。企業訂定管理機制時，要考量風險暴露的損失以及安全上的投資，取得兩者之間的平衡。

就像是買了一輛4千萬元的法拉利時，不論是多花1百萬元購買全額保險、或聘請3個專人輪班守衛都可能是值得的，因為這麼做可以避免4千萬元的損失。但如果你只是買1輛5萬元的10年March老車，就不值得多花10萬元購買全額保險。資安管理機制的採用與否，也是一樣的道理，CIO要思考損失和投入的比例是否匹配。

基本上，跟安全有關的一切都是相對的。很多CIO認為安全是絕對的，以為技術越安全就越好。越安全的技術，若沒有相對的管理措施，就無法發揮功用。配套的管理措施也要和安全的投資相當，投入越多資源不一定能發揮相應的價值。

若你問我，十年老車要怎麼做才夠安全？答案也是相對的，只要比旁邊那輛車多加一道鎖，就能更安全。口述⊙范錚強，整理⊙王宏仁

作者簡介：
范錚強－中央大學管理學院特聘教授
曾任國立中央大學資管系主任多年，任內創立資管所碩士班，曾應邀到北京大學光華管理學院任客座教授。學術方面，擔任過中華民國資訊管理學會第一、二屆常務理事，以及第三、四屆理事長。范教授長期擔任多項政府專案審查人，包括經濟部軟五計畫、ABCDE計畫、企業體系電子化計畫、商業體系電子化計畫、物流運籌業電子化計畫、行政院科技顧問組旗艦計畫等。