【臺灣資安大會直擊】臺科大特聘教授吳宗成：董事會與高階主管一定要具備資安思維，才能保護企業利潤

「資安很重要，不只是技術問題，還是涉及企業組織關鍵的一環。」這是臺灣科技大學資訊管理系特聘教授吳宗成，在今天 （3/19）於2019臺灣資安大會演講的開場白。

吳宗成認為，董事會與企業高階主管，都應該要具備同樣的資安思維，這樣與與第一線員工溝通時，彼此之間才會有完整的對話，才能真正解決資安問題。

要建立資安思維，他建議，得先了解何謂「系統」與「資安」。系統有五大要件，包括資料、軟體、硬體、人員與程序。「人員與程序，在資安上最容易忽略。」吳宗成提到，許多資安問題，其實是發生在人員與程序這兩要件，從這兩項執行資安的防備，是這五大要件中，較為容易的切入點。

舉例來說，在人員上，像是系統發展者、系統管理者、端末使用者等企業人員，都得有資安的心態。或像程序面，不管是正常程序（front-end）、例外程序（back-end），也都得有一套資安規範要遵循。

董事會得了解，系統一般又分為三大類型，分別是資料導向（data-oriented）、服務導向（service-oriented）以及混合式（hybrid）。吳宗成解釋，以資料導向的系統，是以資料為核心主體，由人員遵循程序，執行軟體驅動硬體，對資料做存取。

而服務導向的系統，則是以人員為核心主體，將儲存在不同硬體，以及散落在各地的資料，透過軟體分析，經由授權的程序，提供人員服務，這樣的系統就是所謂的大數據分析，他說。

混合式系統，則是如資料即服務（DaaS）、資訊即服務（IaaS）。此外，現在的系統的架構，大多是虛實整合，且在萬物聯網的時代，都透過雲端連結在一起。

建置資安生態系統，保護創造的利潤

有了系統的概念，接下來，企業董事會與企業高階主管就可以來了解什麼是資安（Informtion security），最初的定義是保護資訊與資訊系統，之後才出現了Cybersecurity 一詞，將保護電腦與電腦系統，擴大到網路上所採取的方法。

吳宗成表示，從2000年開始，大家談得是無線網路安全，包括3G的資安、雲端安全、行動安全。2010年到2015年，在談普及計算安全，包括4G資安、物聯網安全、隱私與個資保護、智財保護與數位鑑識。而從2015年2020年，要步入的是人工智慧安全與5G資安。

「什麼都是跟資安有關，最後會抓不住它的邊，所以一定要找出它的範圍，而這範圍就是資安生態系統（Cybersecurity Ecosystem）。」吳宗成強調，資安生態系統最核心的是資料的安全，接下來是ICT安全，再來是Cybersecurity。

而建置資安生態系統最大的兩項要件，就是先前提到的人員與程序。企業要經營資安，不只要投入對資料、軟體與硬體的保護，還得投入程序的保護，以及人員的資安教育。

吳宗成也指出，資安生態系統的價值定位，「建構系統的目標，就是要創造最大利潤，但是建構資安的目標，不是創造利潤，而是保護創造的利潤，維護資料、資訊與服務價值性，讓損失降到最少。」這是投入資安工作的人員，要有的心態，因為在資安的世界裡，少輸就是贏家，他說。

決策、管理與操作層級，都是資安生態系統重要環節

然而，要如何建立資安生態系統？吳宗成建議，首先，一間企業包括決策層級（董事會成員、資安長）、管理層級到操作層級，都是資安生態系統的環節之一。他提到，決策層級在面對資安，不是給人、給錢就結束，而是要先了解資安，才能推動維護他們所創造出來的利潤。管理層級，則強調在人才的應用。操作層級，則是強調程序的遵循。

不同層級的利害關係人，在這資安生態系各自扮演不同角色，並有安全、成本、效能三種不同的因素互相衝撞，不同層級的人，要考量的因素也不相同，所以也需要找到平衡點，經過互相妥協才能建構出資安生態系統。

「資安是看不見的戰爭。」吳宗成認為，決策層級得思考資安部署的範圍有多大？而投入資安的必要成本，更包括了軟硬體、程序與人員，還有在企業內部推廣資安教育與訓練。

許多企業決策者常問資安的投資報酬率有多少，但吳宗成認為，對於大多數的企業來說，「資安是無法量化的間接價值」，例如企業形象與信任度。企業長期以來形塑的信任度與賺取的利潤，可能會在一次的資安事件就足以消失。

如何落實資安三道防線，善用三類資安人

吳宗成也指出，資安有三道防線，第一道防線是技術問題，就需交由技術人員解決，通常他們可以解決70％～80％的資安問題。第二道防線是管理，可以解決20％～30％的資安問題。最後的第三道防線，則是透過企業內部的法令規範，訂定員工的責任歸屬問題，這樣的作法，是要去規範員工未能善盡責任的資安問題，以及遏止尚未發生的潛在資安問題。

而談到資安的責任與信任，吳宗成提到，不同層級關注的部分也會不一樣。例如，決策層級關注的重點是成本，操作層級的關注點是安全。但不管是哪個層級，在遇上資安事件前，都得遵循規範，而有所作為。而為了確保是否落實作為，就得透過內部控管加上外部稽核。在發生資安事件後，則是要處理碰上的風險與衝擊分析。

他更認為要善用資安人，例如在資安技術議題，就得善用技術型、應用型的資安人，前者是具備攻擊及防禦能力的資安技術專家，後者則是能善用既有的資安技術能量，強化與建構安全的應用場景，或是降低應用領域會面臨到的資安風險。而在資安非技術議題，則要善用應用型、政治型資安人才，吳宗成解釋，政治型資安人才能夠預知未來資安風險，引領政府、企業制定資安政策與戰略部署。這兩類型人才的協作，主要是能加強政策與法令的遵循性，以及異值參與角色之間的調和性。