「資訊安全治理的基礎階段若沒打好,管理就做不好,更遑論談論治理,這之間有必然的因果關係。」這是網路安全技術認證機構EC-Council(國際電子商務顧問局)ECIH全球試題命題委員黃信智,在臺灣資安大會演講中的開場白。他更建議,董事會成員與高階主管,資訊安全治理應該要有的2大思維。
首先,「董事會得從戰爭角度,來看待資訊安全治理。」黃信智坦言,企業內部缺乏這樣的思考,資安作為將會是一盤散沙。
因為當企業把網路視為戰爭的一部分時,就會意識到企業面對的是一種全新的領域,也代表了一個全新的領土。將網路空間視為新戰場,黃信智提到,一有戰爭發生,不管是公部門、私部門、非政府組織、非營利組織,都有遭圍剿的可能。甚至,網路空間會變成一個政治工具,比如以國家的力量發動的網路攻擊。
黃信智強調:「企業應該建立防護單位(Defense unit)及情報單位(Intelligence unit)等體系。」如果企業內部的資訊部門,沒有人力負責這兩種體系,他表示,這代表企業還是將IT視為後勤、支援的單位,而完全忽略了防護與情報的角色,這會使得企業在資安上力不從心。
然而,除了建立防護單位與情報單位,甚至,黃信智認為,企業還需要準備一批負責打仗的戰隊。因為,現在網路無所不在,他提醒,不管是公部門還是企業,早就身在戰場,只是自己還不知情。
過去10年來,全球許多重大資安事件,造成各式各樣的資料外洩災情,不論是商業機密、營業秘密、政府資料、個人資料都遭外洩,外洩規模少則幾十萬筆,多至上億筆資料,不論是企業或政府機關都受到牽連。
不只如此,黃信智提到,企業更要意識到間諜無所不在。比如多年前,美國總統川普拜訪北韓領導人金正恩舉辦川金會時,就發現了現場贊助廠商發送的USB小涼扇,內藏了惡意程式。他提醒,任何一個小破口,都可能導致大破洞。
面對駭客攻擊,特別是臺灣受到的攻擊,大多為國家級駭客組織所發動,企業到底要不要與駭客對打,或者是否要反擊回去?都是企業高層應該思考的面向。然而,黃信智指出,這又回到各企業或組織,是否有成立防護單位與情報單位。
不過,他認為,大部分公司資源相當有限,不太可能成立防護單位與情報單位,充其量是讓IT部門進行部分的防禦,甚至,有些企業IT部門根本不清楚自家資安的作為,只是因為某項資安產品賣得很好,就跟著買來用。「當企業沒有整體的目標與長遠的規畫,通常都是處於被動、被動、再被動的狀態。」黃信智直言。
對於有心思考網路空間、網路安全、資訊安全是一種戰爭的企業高層。黃信智則建議,得考慮企業是要防禦,還是要拿下主導權。他比喻,歷史上發生過的戰爭,相同點都是要搶下灘頭堡,在網路戰爭也是一樣的邏輯與脈絡,「企業一定要想辦法拿下主導權,否則永遠都只能防禦,而防禦的作法往往是道高一尺,魔高一丈。」他認為,市面95%的資安產品僅有防禦功能,很難實現主動出擊,企業若採購了這類資安產品,自然不會有主導權,永遠只有挨打的份。
資安治理需通盤考量,可從7大面向來進行規畫
黃信智建議董事會高層,應思考的資安治理第二大面向,是多維度空間。他解釋,談論到資訊安全有三大原則,主要是資安防護三角錐,也就是CIA三大支柱:機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。不過,他認為,若只聚焦在CIA這三大支柱的點、線、面,沒有辦法進一步跨越到多維度空間。
他更提出資安治理要思考的7個面向。第一,是否有將國家發展議題考慮進去?黃信智表示,這項重點會放在公部門,尤其是中央部會,以及金融、醫療、交通、能源等臺灣8大關鍵基礎領域。
第二項是文化面考量。黃信智提醒,董事會也不能忽略了文化面對資安治理的影響,社會文化有些的發展或趨勢,可能也會影響網路空間的發展,進而影響了企業資安治理的考量。
此外,在產業上的差異也是另一考量面向。他表示,企業必須認知到,各種產業本身就會有不同差異,得訂定清楚自家在資安的目標,比如,在CIA三大支柱要以哪個優先執行?哪個又需做到最徹底?如此來思考,企業的資安作為會完全不同。
而在資安治理上,黃信智強調,企業要懂得用時間爭取空間,或是反過來用空間去爭取時間。「所有的資安防護、資安管控、資安措施,唯一要達到的目的,是延緩入侵者入侵的時間。」他坦言,潛臺詞是企業只能降低入侵者入侵的可能,把入侵者的時間盡可能拉長,並用這些時間來爭取我方的防護。這是他認為容易忽略的第四個面向。
此外,他進一步提到,第五個須考量的面向是宗教議題,根據相關數據顯示,全世界有30個國家想在網路領土插旗,企圖拿下整個網路空間主導權,而這其中有超過一半,都是跟宗教有關,比如伊斯蘭國ISIS。
最後兩個企業在資安治理須考量的面向,黃信智表示,包括產業上的間諜,以及你的「鄰居」,他提到,所謂的鄰居,可能就在公司隔壁或上下樓,也可能是同業的競爭者,也可能是你產業鏈的上下游。他坦言,這些都是企業經常沒有思考,而直接埋頭苦幹做所謂的資安治理。「當企業忽略了這些面向的考慮,資安治理會顯得力不從心,只能在有限資源下做出當下較好的判斷,但在大方向卻完全不知所在。」
黃信智建議,企業董事會成員與高階主管,必須通盤評估上述角度,綜觀組織裡相關資源,衡量資安治理待辦事項、即將採取的措施,以及組織未來的發展,才能夠釐清自家公司在資安治理該往哪條路前進。文⊙李靜宜
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07