國際產業安全協會台灣分會長楊博裕,分享資訊風險管理對企業的重要性。

圖片來源: 

iThome

「每家企業都像一臺性能好的跑車,在高速奔馳的道路上,或許會遇到威脅與障礙,但資訊風險管理就像煞車一樣,能讓企業趨吉避凶。」國際產業安全協會(ASIS)台灣分會會長楊博裕在15日的臺灣資安大會,一句話點出資訊風險管理對於企業的重要性,而資訊風險管理人員所扮演的角色,就是協助IT人員做好準備,確保資訊單位對風險的控制活動有效,才足以面對各種資安威脅。楊博裕表示,國外許多企業已設有專責的「資訊風險管理單位」,但臺灣金融業還不普及,例如外商花旗銀行、匯豐銀行等也都有設立。

為了避免混淆,楊博裕特別指出,「資訊安全管理」與「資訊風險管理」兩者的不同。資訊安全管理是指,要保護資訊資產的安全性、正確性、可用性,確保資訊資產不會受到未經授權的存取,而對組織造成影響。而「資訊風險管理」的目標則是,要釐清組職內部作業流程,找出潛在的風險、威脅、弱點之後,再來設計相對應的控制活動,最後還要建立可以自行查核、衡量風險控制的指標,來測試這些控制活動的有效性,如此「才能確保資訊環境的風險能被管理與監控。」他說。

網路環境越趨複雜,資訊風險逐年成長,楊博裕指出,企業現在面對的威脅和挑戰遠勝於過去,對內、對外皆有隱憂,包含了「法令遵循風險」、「新興科技風險」以及「新興威脅風險」。法令遵循的部分,例如歐盟即將在今年5月25日實施的通用資料保護規則(GDPR),將是各組織個資保護的一大考驗;此外,組織為了增加競爭力,難免會導入雲端、大數據、區塊鏈、AI等新興科技,但楊博裕指出,新興科技仍有潛在的風險,所以必須有一套機制去評估;另外,駭客及國際犯罪集團等新興威脅,如釣魚郵件、勒索郵件,更讓組織處於惴惴不安的環境中,所以企業主必須更重視資訊風險管理,讓重要資料獲得完善的保護。

楊博裕進一步提出,一般常見的資安迷思是,只聚焦於資訊系統的安全性與可用性。但他認為,評估資訊安全風險時可以從4大面向著手,分別是「安全性風險」、「可用性風險」、「法律遵循風險」以及「效能風險」。他解釋,除了講究安全性與可用性之外,法律遵循風險對於金融業來說又更加重要,若沒有辦法達到法規的要求,輕則罰款、重則吊銷營業執照;楊博裕也提醒,效能風險更是不容輕忽,因為效能不彰會令客戶、使用者產生抱怨,對商譽造成難以挽回的影響,若缺乏積極的改善作為,效能問題日後就會變成可用性問題,對組織造成更嚴重的傷害。

也因此,他認為,導入資訊風險管理架構,儼然成為企業的當務之急。楊博裕強調,企業透過資訊風險管理更能落實三道防線,分別來自IT單位、作業風險管理單位與企業內部的的稽核單位。

不過,他提到,IT人員對於控制活動的設計多半了解不深時,遇到內外部稽核缺失或是內部提出業務需求時,IT會不停增加控制活動,造成疊床架屋的窘況,最後什麼都做不好,他強調,理想目標是要求IT人員將控制活動化繁為簡,才能確保效果能確實到位。除了IT部門的努力外,組織內部也需跨部門進行溝通協調,讓資訊風險管理能有效運作,楊博裕說,這時就需要創造共同的語言。例如,資訊風險會對組織財務、商譽有何影響,IT人員需從不同的角度切入。

至於能夠利用哪些資訊風險管理工具,楊博裕特別推薦風險控制矩陣(Risk and Control Matrix,RCM)、自行查核(Self-assessment)、風險註冊(Risk Register)。風險控制矩陣的用途在於,當發現資訊作業流程的風險、威脅後,就可以找到相對應的控制活動,並測試是否能夠預防風險的發生。

楊博裕提到,自行查核,常常是吃力不討好也容易被輕忽的任務,但「自行查核卻是組織內部資訊風險管理的地基」,他補充,透過自行查核,可以幫助組織找到作業流程、控制活動設計上的問題,並協助了解控制活動有效性,就能針對個別單位、人員,到底發生什麼問題,進一步改善。

而要風險註冊的精神在於,當組織內部發生缺失可以主動承認,向企業內部作業風險管理單位註冊風險,並列出改善計畫與後續追蹤,其好處在於,若稽核人員可以缺失報告中,註明資訊單位已發現相關風險也有適當的處理,可以來降低日後發生風險的機率,也更能代表企業在處理風險上有一定的水準。

熱門新聞

Advertisement