【臺灣資安大會直擊】EC-Council ECIH全球試題命題委員黃信智：企業董事會高層該有資安治理2大思維，從7面向重新釐清企業整體資安治理方向

「資訊安全治理的基礎階段若沒打好，管理就做不好，更遑論談論治理，這之間有必然的因果關係。」這是網路安全技術認證機構EC-Council（國際電子商務顧問局）ECIH全球試題命題委員黃信智，在臺灣資安大會演講中的開場白。他更建議，董事會成員與高階主管，資訊安全治理應該要有的2大思維。

 首先，「董事會得從戰爭角度，來看待資訊安全治理。」黃信智坦言，企業內部缺乏這樣的思考，資安作為將會是一盤散沙。

因為當企業把網路視為戰爭的一部分時，就會意識到企業面對的是一種全新的領域，也代表了一個全新的領土。將網路空間視為新戰場，黃信智提到，一有戰爭發生，不管是公部門、私部門、非政府組織、非營利組織，都有遭圍剿的可能。甚至，網路空間會變成一個政治工具，比如以國家的力量發動的網路攻擊。

黃信智強調：「企業應該建立防護單位（Defense unit）及情報單位（Intelligence unit）等體系。」如果企業內部的資訊部門，沒有人力負責這兩種體系，他表示，這代表企業還是將IT視為後勤、支援的單位，而完全忽略了防護與情報的角色，這會使得企業在資安上力不從心。

然而，除了建立防護單位與情報單位，甚至，黃信智認為，企業還需要準備一批負責打仗的戰隊。因為，現在網路無所不在，他提醒，不管是公部門還是企業，早就身在戰場，只是自己還不知情。

過去10年來，全球許多重大資安事件，造成各式各樣的資料外洩災情，不論是商業機密、營業秘密、政府資料、個人資料都遭外洩，外洩規模少則幾十萬筆，多至上億筆資料，不論是企業或政府機關都受到牽連。

不只如此，黃信智提到，企業更要意識到間諜無所不在。比如多年前，美國總統川普拜訪北韓領導人金正恩舉辦川金會時，就發現了現場贊助廠商發送的USB小涼扇，內藏了惡意程式。他提醒，任何一個小破口，都可能導致大破洞。

面對駭客攻擊，特別是臺灣受到的攻擊，大多為國家級駭客組織所發動，企業到底要不要與駭客對打，或者是否要反擊回去？都是企業高層應該思考的面向。然而，黃信智指出，這又回到各企業或組織，是否有成立防護單位與情報單位。

不過，他認為，大部分公司資源相當有限，不太可能成立防護單位與情報單位，充其量是讓IT部門進行部分的防禦，甚至，有些企業IT部門根本不清楚自家資安的作為，只是因為某項資安產品賣得很好，就跟著買來用。「當企業沒有整體的目標與長遠的規畫，通常都是處於被動、被動、再被動的狀態。」黃信智直言。

對於有心思考網路空間、網路安全、資訊安全是一種戰爭的企業高層。黃信智則建議，得考慮企業是要防禦，還是要拿下主導權。他比喻，歷史上發生過的戰爭，相同點都是要搶下灘頭堡，在網路戰爭也是一樣的邏輯與脈絡，「企業一定要想辦法拿下主導權，否則永遠都只能防禦，而防禦的作法往往是道高一尺，魔高一丈。」他認為，市面95%的資安產品僅有防禦功能，很難實現主動出擊，企業若採購了這類資安產品，自然不會有主導權，永遠只有挨打的份。

資安治理需通盤考量，可從7大面向來進行規畫

黃信智建議董事會高層，應思考的資安治理第二大面向，是多維度空間。他解釋，談論到資訊安全有三大原則，主要是資安防護三角錐，也就是CIA三大支柱：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。不過，他認為，若只聚焦在CIA這三大支柱的點、線、面，沒有辦法進一步跨越到多維度空間。

他更提出資安治理要思考的7個面向。第一，是否有將國家發展議題考慮進去？黃信智表示，這項重點會放在公部門，尤其是中央部會，以及金融、醫療、交通、能源等臺灣8大關鍵基礎領域。

第二項是文化面考量。黃信智提醒，董事會也不能忽略了文化面對資安治理的影響，社會文化有些的發展或趨勢，可能也會影響網路空間的發展，進而影響了企業資安治理的考量。

此外，在產業上的差異也是另一考量面向。他表示，企業必須認知到，各種產業本身就會有不同差異，得訂定清楚自家在資安的目標，比如，在CIA三大支柱要以哪個優先執行？哪個又需做到最徹底？如此來思考，企業的資安作為會完全不同。

而在資安治理上，黃信智強調，企業要懂得用時間爭取空間，或是反過來用空間去爭取時間。「所有的資安防護、資安管控、資安措施，唯一要達到的目的，是延緩入侵者入侵的時間。」他坦言，潛臺詞是企業只能降低入侵者入侵的可能，把入侵者的時間盡可能拉長，並用這些時間來爭取我方的防護。這是他認為容易忽略的第四個面向。

此外，他進一步提到，第五個須考量的面向是宗教議題，根據相關數據顯示，全世界有30個國家想在網路領土插旗，企圖拿下整個網路空間主導權，而這其中有超過一半，都是跟宗教有關，比如伊斯蘭國ISIS。

最後兩個企業在資安治理須考量的面向，黃信智表示，包括產業上的間諜，以及你的「鄰居」，他提到，所謂的鄰居，可能就在公司隔壁或上下樓，也可能是同業的競爭者，也可能是你產業鏈的上下游。他坦言，這些都是企業經常沒有思考，而直接埋頭苦幹做所謂的資安治理。「當企業忽略了這些面向的考慮，資安治理會顯得力不從心，只能在有限資源下做出當下較好的判斷，但在大方向卻完全不知所在。」

黃信智建議，企業董事會成員與高階主管，必須通盤評估上述角度，綜觀組織裡相關資源，衡量資安治理待辦事項、即將採取的措施，以及組織未來的發展，才能夠釐清自家公司在資安治理該往哪條路前進。文⊙李靜宜