科技與分析建構資安防線,先釐清管理問題

政大科管與智財所教授蕭瑞麟談資安管理

建構資安防線,先釐清管理問題

建構資安防線,先釐清管理問題

蕭瑞麟認為,要打造資安防線,就不能只有成本考量。 蘇義傑攝

在資訊安全管理日益重要的今天,企業卻常發現投注資源之後,沒能有效建立起資安防線。政治大學科技管理與智慧財產研究所教授蕭瑞麟接受本刊採訪,從「顧客洞察」角度出發,探討問題起因。他指出,「如果看不到組織脈絡問題,即使有再好的資安技術,也難以解決問題。」

近年資安事件層出不窮。遠東銀行與第一銀行分別出現資安防線疏漏,駭客入侵後個別險些被盜領八千萬及18億元。對組織而言,忽視資安將面臨很大的風險。問題出在哪裡?在我看來,最關鍵的是,組織在談資訊安全防護時,經常忽略使用者的需求與環境脈絡所致。讓我們從兩個案例來看當前企業在採用資訊安全服務時,所遇到的問題:

案例1〉善意資安服務反成困擾

有一家台灣知名的A銀行,除了台灣在美國洛杉磯、香港、歐洲倫敦等地,都有分支機構。A銀行除了有數百人的資訊管理團隊,還委託資訊安全服務廠商,協助排除電腦系統中毒等資安狀況。

有一次,A銀行在桃園的分行因為行員電腦中毒擴散到整個分行系統,導致分行業務癱瘓。網管人員馬上進行分隔控管,資訊安全服務廠商也立即派了資訊工程師到現場,儘管知道系統是被僵屍病毒入侵,但花費了三天,系統仍無法恢復正常。因為不耐時間流逝造成龐大業務中斷損失,A銀行資訊長決定以重灌系統解決,並對服務商有許多怨言。

他除了抱怨花錢請的資安服務商缺乏銀行專業,延宕搶救時間,還質疑服務商平常提供的電腦病毒警訊通告,增加銀行日常營運困擾。因為銀行只要一接到通報,除了分行人員和客戶都會緊張之外,更嚴重的是,金融監理...