臺灣科技大學資訊管理系特聘教授吳宗成。

圖片來源: 

iThome

「資安很重要,不只是技術問題,還是涉及企業組織關鍵的一環。」這是臺灣科技大學資訊管理系特聘教授吳宗成,在今天 (3/19)於2019臺灣資安大會演講的開場白。

吳宗成認為,董事會與企業高階主管,都應該要具備同樣的資安思維,這樣與與第一線員工溝通時,彼此之間才會有完整的對話,才能真正解決資安問題。

要建立資安思維,他建議,得先了解何謂「系統」與「資安」。系統有五大要件,包括資料、軟體、硬體、人員與程序。「人員與程序,在資安上最容易忽略。」吳宗成提到,許多資安問題,其實是發生在人員與程序這兩要件,從這兩項執行資安的防備,是這五大要件中,較為容易的切入點。

舉例來說,在人員上,像是系統發展者、系統管理者、端末使用者等企業人員,都得有資安的心態。或像程序面,不管是正常程序(front-end)、例外程序(back-end),也都得有一套資安規範要遵循。

董事會得了解,系統一般又分為三大類型,分別是資料導向(data-oriented)、服務導向(service-oriented)以及混合式(hybrid)。吳宗成解釋,以資料導向的系統,是以資料為核心主體,由人員遵循程序,執行軟體驅動硬體,對資料做存取。

而服務導向的系統,則是以人員為核心主體,將儲存在不同硬體,以及散落在各地的資料,透過軟體分析,經由授權的程序,提供人員服務,這樣的系統就是所謂的大數據分析,他說。

混合式系統,則是如資料即服務(DaaS)、資訊即服務(IaaS)。此外,現在的系統的架構,大多是虛實整合,且在萬物聯網的時代,都透過雲端連結在一起。

建置資安生態系統,保護創造的利潤

有了系統的概念,接下來,企業董事會與企業高階主管就可以來了解什麼是資安(Informtion security),最初的定義是保護資訊與資訊系統,之後才出現了Cybersecurity 一詞,將保護電腦與電腦系統,擴大到網路上所採取的方法。

吳宗成表示,從2000年開始,大家談得是無線網路安全,包括3G的資安、雲端安全、行動安全。2010年到2015年,在談普及計算安全,包括4G資安、物聯網安全、隱私與個資保護、智財保護與數位鑑識。而從2015年2020年,要步入的是人工智慧安全與5G資安。

「什麼都是跟資安有關,最後會抓不住它的邊,所以一定要找出它的範圍,而這範圍就是資安生態系統(Cybersecurity Ecosystem)。」吳宗成強調,資安生態系統最核心的是資料的安全,接下來是ICT安全,再來是Cybersecurity。

而建置資安生態系統最大的兩項要件,就是先前提到的人員與程序。企業要經營資安,不只要投入對資料、軟體與硬體的保護,還得投入程序的保護,以及人員的資安教育。

吳宗成也指出,資安生態系統的價值定位,「建構系統的目標,就是要創造最大利潤,但是建構資安的目標,不是創造利潤,而是保護創造的利潤,維護資料、資訊與服務價值性,讓損失降到最少。」這是投入資安工作的人員,要有的心態,因為在資安的世界裡,少輸就是贏家,他說。

決策、管理與操作層級,都是資安生態系統重要環節

然而,要如何建立資安生態系統?吳宗成建議,首先,一間企業包括決策層級(董事會成員、資安長)、管理層級到操作層級,都是資安生態系統的環節之一。他提到,決策層級在面對資安,不是給人、給錢就結束,而是要先了解資安,才能推動維護他們所創造出來的利潤。管理層級,則強調在人才的應用。操作層級,則是強調程序的遵循。

不同層級的利害關係人,在這資安生態系各自扮演不同角色,並有安全、成本、效能三種不同的因素互相衝撞,不同層級的人,要考量的因素也不相同,所以也需要找到平衡點,經過互相妥協才能建構出資安生態系統。

「資安是看不見的戰爭。」吳宗成認為,決策層級得思考資安部署的範圍有多大?而投入資安的必要成本,更包括了軟硬體、程序與人員,還有在企業內部推廣資安教育與訓練。

許多企業決策者常問資安的投資報酬率有多少,但吳宗成認為,對於大多數的企業來說,「資安是無法量化的間接價值」,例如企業形象與信任度。企業長期以來形塑的信任度與賺取的利潤,可能會在一次的資安事件就足以消失。

如何落實資安三道防線,善用三類資安人

吳宗成也指出,資安有三道防線,第一道防線是技術問題,就需交由技術人員解決,通常他們可以解決70%~80%的資安問題。第二道防線是管理,可以解決20%~30%的資安問題。最後的第三道防線,則是透過企業內部的法令規範,訂定員工的責任歸屬問題,這樣的作法,是要去規範員工未能善盡責任的資安問題,以及遏止尚未發生的潛在資安問題。

而談到資安的責任與信任,吳宗成提到,不同層級關注的部分也會不一樣。例如,決策層級關注的重點是成本,操作層級的關注點是安全。但不管是哪個層級,在遇上資安事件前,都得遵循規範,而有所作為。而為了確保是否落實作為,就得透過內部控管加上外部稽核。在發生資安事件後,則是要處理碰上的風險與衝擊分析。

他更認為要善用資安人,例如在資安技術議題,就得善用技術型、應用型的資安人,前者是具備攻擊及防禦能力的資安技術專家,後者則是能善用既有的資安技術能量,強化與建構安全的應用場景,或是降低應用領域會面臨到的資安風險。而在資安非技術議題,則要善用應用型、政治型資安人才,吳宗成解釋,政治型資安人才能夠預知未來資安風險,引領政府、企業制定資安政策與戰略部署。這兩類型人才的協作,主要是能加強政策與法令的遵循性,以及異值參與角色之間的調和性。


Advertisement

更多 iThome相關內容