本文出自

八型企業文化成功學

八型企業文化成功學

2018年1月號

建構資安防線,先釐清管理問題

政大科管與智財所教授蕭瑞麟談資安管理
蕭瑞麟 Ruey-Lin Hsiao , 採訪整理 ■ 李郁怡 Eve Li
瀏覽人數:2667
蕭瑞麟認為,要打造資安防線,就不能只有成本考量。 蘇義傑攝
在資訊安全管理日益重要的今天,企業卻常發現投注資源之後,沒能有效建立起資安防線。政治大學科技管理與智慧財產研究所教授蕭瑞麟接受本刊採訪,從「顧客洞察」角度出發,探討問題起因。

在資訊安全管理日益重要的今天,企業卻常發現投注資源之後,沒能有效建立起資安防線。政治大學科技管理與智慧財產研究所教授蕭瑞麟接受本刊採訪,從「顧客洞察」角度出發,探討問題起因。他指出,「如果看不到組織脈絡問題,即使有再好的資安技術,也難以解決問題。」

近年資安事件層出不窮。遠東銀行與第一銀行分別出現資安防線疏漏,駭客入侵後個別險些被盜領八千萬及18億元。對組織而言,忽視資安將面臨很大的風險。問題出在哪裡?在我看來,最關鍵的是,組織在談資訊安全防護時,經常忽略使用者的需求與環境脈絡所致。讓我們從兩個案例來看當前企業在採用資訊安全服務時,所遇到的問題:

案例1》善意資安服務反成困擾

有一家台灣知名的A銀行,除了台灣在美國洛杉磯、香港、歐洲倫敦等地,都有分支機構。A銀行除了有數百人的資訊管理團隊,還委託資訊安全服務廠商,協助排除電腦系統中毒等資安狀況。

有一次,A銀行在桃園的分行因為行員電腦中毒擴散到整個分行系統,導致分行業務癱瘓。網管人員馬上進行分隔控管,資訊安全服務廠商也立即派了資訊工程師到現場,儘管知道系統是被僵屍病毒入侵,但花費了三天,系統仍無法恢復正常。因為不耐時間流逝造成龐大業務中斷損失,A銀行資訊長決定以重灌系統解決,並對服務商有許多怨言。

他除了抱怨花錢請的資安服務商缺乏銀行專業,延宕搶救時間,還質疑服務商平常提供的電腦病毒警訊通告,增加銀行日常營運困擾。因為銀行只要一接到通報,除了分行人員和客戶都會緊張之外,更嚴重的是,金融監理單位規定銀行必須通報。因此,只要一有警訊,A銀行資訊處就面臨兩難:「如果上報後才發現是誤報,造成虛驚一場,銀行的風險評價可能會被降低,若消息外洩還可能影響股價;如果不上報,一旦發生資安事件,不僅會受到主管機關處分與罰款,也影響信譽。」

在電腦病毒進化速度驚人,每天都有超過百萬變形病毒出現,每年都有上千萬種新病毒進攻電腦、手機與3C等聯網載體的今天,對A銀行來說,格外考驗資安應變能力。

案例2》面臨潛在威脅,工程師卻找不到問題

另一個例子,發生在一家有名的電腦遊戲服務業者。這家業者因為自身建置封閉系統,不認為需要外部資安服務。但事實上,由於這家業者的線上遊戲商業模式是建構在數位內容付費機制上。業者從玩家的會員費和銷售線上遊戲寶物等獲得收入,而寶物是有市場價值的。許多玩家為了提高分數、累積寶物,會以外掛機器人練功,干擾線上遊戲的公平性,外掛機器人就是一種「病毒」。另外,有些遊戲網站的資安建置不夠完善,而玩家往往又粗心大意,將自己各種遊戲的密碼都設成一樣,駭客便可以由小型遊戲網站竊取密碼,然後到大型遊戲網站將寶物洗劫一空。

儘管遊戲業者的確面臨了潛在資安風險,但業者本身和資安服務委託合約的資安服務商,兩方的工程師都無法明確指出風險所在。(業者的資安潛在威脅,是筆者在〈資安洞見:由使用者痛點提煉創新來源〉一文研究過程之中發現的。)

資安防線設計,從「顧客洞察」出發

為什麼資訊安全服務業者與企業資訊工程師,常看不到資訊安全真正問題所在?關鍵也許在於許多人並沒有意識到,資訊安全問題並非只是技術層次的,更是組織管理的問題。也就是說,要有效建立資訊安全防線,解決方案必須與使用者的在地脈絡連結。

組織的資訊長或是工程師必須去思考,病毒是透過「誰」、怎麼樣的使用習慣與模式進行散布的;管理情境不同,解決方案答案也會很不一樣。而不是期望買一套軟體工具或引進現成資安服務,就解決問題。如果資訊長不能理解管理上的需求,外部廠商就更不可能提供有效協助了。

跨領域對話,攸關痛點是否解決

要理解組織內部需求,必須有意識、以質性研究方法去觀察他們的工作環境、組織脈絡。以上述銀行業者的兩難處境來說,如果能夠觀察並分析銀行實際的工作脈絡,可能比起用問卷調查,更可能察覺金融監管單位對銀行資安運作方式帶來的影響。然而台灣大部分組織在建構資安防線時,卻十分缺乏顧客(使用者)需求的洞察意識。

要理解組織內部需求,必須有意識、以質性研究方法去觀察他們的工作環境、組織脈絡。

資訊科技發展一日千里,當顧客需要的產品或服務比較複雜時,往往必須由跨領域專家協作,企業資訊長或資訊服務商都是技術出身,他們對研究技術演進、病毒碼行為,比研究使用者需求更有興趣;而一般企業主管與員工又不懂技術語言,往往彼此很難有效溝通。

解決問題的關鍵,除了資訊工程師克制技術至上的心態、組織成立跨部門小組等,更關鍵的,可能是從使用者的痛點出發,傾聽他們的抱怨、挫折、業務中斷、失敗等困擾,並從中分析需求,再提出資安解決方案。

不能只考量成本

另一個議題是對「成本」的迷思。許多人認為,如果要針對組織痛點去對應資訊安全需求,量身訂做的資訊系統會讓成本大幅攀升,在成本考量下就去買最便宜的套裝軟體或方案,結果,問題不僅沒解決,還增加了麻煩。

如果要在有限資源下建構資安防線,不見得一定要全部委外,如果資訊長對組織的管理模式有足夠理解,透過局部外包並結合自身資訊部門能力,選用現有資訊套裝方案適當組合,也可以有效建立防線,在成本與效益間取得平衡。



蕭瑞麟 Ruey-Lin Hsiao

政治大學商學院科技管理與智慧財產研究所教授;著有 《思考的脈絡》,天下文化出版。



本篇文章主題技術