攝影/王若樸
達文西個資暨高科技法律事務所所長葉奇鑫今(4日)在臺灣資安大會上,分享一款資安風險量化評估工具ISACA COBIT 2019,能根據不同企業的重點資產,來量身打造專屬資安評估和建議,比傳統的資安標準ISO 27001更靈活;即使企業面臨多種資安風險量化挑戰,如風險評估方法不一致、經驗不足造成資料分析限制,他建議,可以用ISAC COBIT 2019來改善。
為何要量化?
葉奇鑫是臺灣少數同時具有法律、科技和金融實務經驗的專家,曾任法務部檢察官、eBay交易安全長、露天拍賣營運長,現在不只擔任律師事務所所長,還是永豐金控董事、電腦稽核協會的理事長等。
在他看來,「量化是衡量事物最直覺的方法,有著一目了然、客觀且協助決策的優點。」比如以分數來表示信心程度,讓人一看就懂;或是以數學公式量化金融風險,客觀陳述;對企業決策者來說,量化可以協助主管快速決策,優先將資源投入需要修補之處。
資安風險量化的現實困境,IT和營運角度大不同
資安風險量化更是如此。但,資安風險量化還有不少現實困境,葉奇鑫舉例,像是風險級距劃分不統一,「有些太過籠統,有些太過細緻,」比如有些資安風險評估是1到5分,有些1到10分,其中每一分的級距就很難界定。
此外,資安風險量化還有只重資料、輕忽分析的問題,以及資料認知偏差、資料規模和品質不理想等。這些看來也許抽象,葉奇鑫以自己過去在露天拍賣的經驗來說明,有天自家技術長告訴他,搜尋引擎的物件最高承載量只有400萬件,等於架上拍賣的物件一旦超過400萬件,「網站就會開不起來,」而且「明天就會發生。」
這對任何一家企業來說,都是「巨大的IT安全挑戰。」當時技術長的解決方法是,利用開源框架重新開發一個搜尋引擎,但要花3個月。這在負責營運的葉奇鑫看來,IT人可以考慮這個選項,但對營運者來說完全不行。於是,他要求內部人員每天將最舊、未賣出的商品下架,來維持400萬件內的物件數,直到3個月後新引擎上線。
或然率不確定性怎麼估風險?資安風險量化的實作挑戰還有這些
不只如此,在實作上,資安風險量化也有許多困難,比如或然率的不確定性。葉奇鑫指出,事件發生的可能性以機率表示,但機率本身是不確定的,比如他5年前進行證券商的IT系統評估,對方告訴他,系統承載量為每日1千多億元成交量,但證券商為了保險起見,會用3倍最大的,也就是3千億來設計最大承載量。
「但最近的股市成交量高達5、6千億元,導致各券商的App幾乎都會出現不順的情況,」他認為,這是因為,5年前,證券商對5年後成交量超過5千億元的可能性評估是0,這就是或然率不確定性導致的風險。
除此之外,實作困難還有多因素資料分析的協調難度、經驗不足導致資料分析不全面,以及相關人才稀缺等問題。其中,多因素資料分析協調困難的意思是,「公司越大,資料範圍就越廣,」比如金控底下有銀行、證券、保險,3種業務截然不同,要全面盤點資料來量化資安風險,也就越複雜。
COBIT 2019風險量化框架可以怎麼用?
雖然資安風險量化有著種種困難,但葉奇鑫認為,每家企業還是得根據自家最重要的資產,來量身訂做最適合的風險量化評估,而且,「好的資安風險量化框架,能助企業扭轉劣勢。」他也盤點目前幾款主流的資安風險量化框架,像是國際電腦稽核協會(ISACA)的 COBIT 2019,以及常見的ISO 27005、NIST SP800-30、OCTAVE和OWASP等。其中,他特別推薦COBIT 2019。
COBIT 2019以前一代COBIT 5為基礎,再加上新法規和社群貢獻內容設計而成。COBIT 2019架構龐大,包括核心元件、相關框架手冊、設計指南、聚焦領域,以及最終產物:客製化的企業IT治理系統。
以核心元件來說,COBIT 2019有5大類核心模型,首先是EDM為編號的治理框架設計和維護、風險優化等,再來是APO為編號開頭的資料管理、預算成本控管、人力管理等,第3類則是編號BAI的託管計畫、託管IT變化、託管設置等,接著是DSS編號的託管安全服務、託管作業等,最後是編號MEA的託管內部控制系統、託管成效等。(如下圖)
以實作流程來說,COBIT 2019和常見的企業流程管理PDCA類似,「但步驟更細緻。」葉奇鑫解釋,COBIT 2019核心概念有7個步驟,包括起始計畫、定義問題和機會、設定藍圖、擬定計畫、執行計畫、實現益處、檢視成效等。(如下圖)
針對資安治理,COBIT框架也特別涵蓋一套系統設計流程。這個流程有4大步驟,分別是瞭解企業處境和策略、決定初始治理系統範圍、精煉治理系統範圍、總結治理系統設計。在每一步驟中,又可再細分好幾個小步驟,讓企業按部就班設計最合適的系統。(如下圖)
另一方面,COBIT框架還有一套風險情境評分表,讓企業根據不同情境,來評估風險衝擊程度和發生的可能性。最後再以不同顏色,來標註該風險的程度高低。(如下圖)
接著,系統會根據上述風險評估結果,以一張視覺圖表來呈現。葉奇鑫解讀,圖表中的面積越大,就代表企業在該領域的表現越好。(如下圖)
根據這個風險量化結果,COBIT也提供一套決策示例表,來解釋企業決策和企業內部人員的關係。表中涵蓋不同的決策主題和範圍,以及企業內部的負責單位,包括執行小組、IT治理董事會、企業風險小組、專案管理者、專案小組、IT管理、業務處理負責人和職員。
而要考量風險的利害關係對象時,最重要的就是RACI模型,這4字分別是指執行者(Responsible)、當責者或應負責者(Accountable)、需諮詢的對象(Consulted),以及需告知的對象(Informed)。舉例來說,以下表第一項「治理」主題為例,執行小組和IT治理小組對應到R,代表這兩組負責執行決策,而企業風險小組則對應到C,也就是需要諮詢的單位。至於對應到I的職員,則是要被通知的單位。(如下圖)
他希望,除了ISO 27001之外,這套資安風險量化評估框架,可以成為臺灣企業的另種選擇。
熱門新聞
2024-11-22
2024-11-24
2024-11-22
2024-11-22
2024-11-22
2024-11-24
2024-11-24