【臺灣資安大會直擊】如何量化資安風險？專家推薦ISACA COBIT評估框架

達文西個資暨高科技法律事務所所長葉奇鑫今（4日）在臺灣資安大會上，分享一款資安風險量化評估工具ISACA COBIT 2019，能根據不同企業的重點資產，來量身打造專屬資安評估和建議，比傳統的資安標準ISO 27001更靈活；即使企業面臨多種資安風險量化挑戰，如風險評估方法不一致、經驗不足造成資料分析限制，他建議，可以用ISAC COBIT 2019來改善。

為何要量化？

葉奇鑫是臺灣少數同時具有法律、科技和金融實務經驗的專家，曾任法務部檢察官、eBay交易安全長、露天拍賣營運長，現在不只擔任律師事務所所長，還是永豐金控董事、電腦稽核協會的理事長等。

在他看來，「量化是衡量事物最直覺的方法，有著一目了然、客觀且協助決策的優點。」比如以分數來表示信心程度，讓人一看就懂；或是以數學公式量化金融風險，客觀陳述；對企業決策者來說，量化可以協助主管快速決策，優先將資源投入需要修補之處。

資安風險量化的現實困境，IT和營運角度大不同

資安風險量化更是如此。但，資安風險量化還有不少現實困境，葉奇鑫舉例，像是風險級距劃分不統一，「有些太過籠統，有些太過細緻，」比如有些資安風險評估是1到5分，有些1到10分，其中每一分的級距就很難界定。

此外，資安風險量化還有只重資料、輕忽分析的問題，以及資料認知偏差、資料規模和品質不理想等。這些看來也許抽象，葉奇鑫以自己過去在露天拍賣的經驗來說明，有天自家技術長告訴他，搜尋引擎的物件最高承載量只有400萬件，等於架上拍賣的物件一旦超過400萬件，「網站就會開不起來，」而且「明天就會發生。」

這對任何一家企業來說，都是「巨大的IT安全挑戰。」當時技術長的解決方法是，利用開源框架重新開發一個搜尋引擎，但要花3個月。這在負責營運的葉奇鑫看來，IT人可以考慮這個選項，但對營運者來說完全不行。於是，他要求內部人員每天將最舊、未賣出的商品下架，來維持400萬件內的物件數，直到3個月後新引擎上線。

或然率不確定性怎麼估風險？資安風險量化的實作挑戰還有這些

不只如此，在實作上，資安風險量化也有許多困難，比如或然率的不確定性。葉奇鑫指出，事件發生的可能性以機率表示，但機率本身是不確定的，比如他5年前進行證券商的IT系統評估，對方告訴他，系統承載量為每日1千多億元成交量，但證券商為了保險起見，會用3倍最大的，也就是3千億來設計最大承載量。

「但最近的股市成交量高達5、6千億元，導致各券商的App幾乎都會出現不順的情況，」他認為，這是因為，5年前，證券商對5年後成交量超過5千億元的可能性評估是0，這就是或然率不確定性導致的風險。

除此之外，實作困難還有多因素資料分析的協調難度、經驗不足導致資料分析不全面，以及相關人才稀缺等問題。其中，多因素資料分析協調困難的意思是，「公司越大，資料範圍就越廣，」比如金控底下有銀行、證券、保險，3種業務截然不同，要全面盤點資料來量化資安風險，也就越複雜。

COBIT 2019風險量化框架可以怎麼用？

雖然資安風險量化有著種種困難，但葉奇鑫認為，每家企業還是得根據自家最重要的資產，來量身訂做最適合的風險量化評估，而且，「好的資安風險量化框架，能助企業扭轉劣勢。」他也盤點目前幾款主流的資安風險量化框架，像是國際電腦稽核協會（ISACA）的 COBIT 2019，以及常見的ISO 27005、NIST SP800-30、OCTAVE和OWASP等。其中，他特別推薦COBIT 2019。

COBIT 2019以前一代COBIT 5為基礎，再加上新法規和社群貢獻內容設計而成。COBIT 2019架構龐大，包括核心元件、相關框架手冊、設計指南、聚焦領域，以及最終產物：客製化的企業IT治理系統。

以核心元件來說，COBIT 2019有5大類核心模型，首先是EDM為編號的治理框架設計和維護、風險優化等，再來是APO為編號開頭的資料管理、預算成本控管、人力管理等，第3類則是編號BAI的託管計畫、託管IT變化、託管設置等，接著是DSS編號的託管安全服務、託管作業等，最後是編號MEA的託管內部控制系統、託管成效等。（如下圖）

以實作流程來說，COBIT 2019和常見的企業流程管理PDCA類似，「但步驟更細緻。」葉奇鑫解釋，COBIT 2019核心概念有7個步驟，包括起始計畫、定義問題和機會、設定藍圖、擬定計畫、執行計畫、實現益處、檢視成效等。（如下圖）

針對資安治理，COBIT框架也特別涵蓋一套系統設計流程。這個流程有4大步驟，分別是瞭解企業處境和策略、決定初始治理系統範圍、精煉治理系統範圍、總結治理系統設計。在每一步驟中，又可再細分好幾個小步驟，讓企業按部就班設計最合適的系統。（如下圖）

另一方面，COBIT框架還有一套風險情境評分表，讓企業根據不同情境，來評估風險衝擊程度和發生的可能性。最後再以不同顏色，來標註該風險的程度高低。（如下圖）

接著，系統會根據上述風險評估結果，以一張視覺圖表來呈現。葉奇鑫解讀，圖表中的面積越大，就代表企業在該領域的表現越好。（如下圖）

根據這個風險量化結果，COBIT也提供一套決策示例表，來解釋企業決策和企業內部人員的關係。表中涵蓋不同的決策主題和範圍，以及企業內部的負責單位，包括執行小組、IT治理董事會、企業風險小組、專案管理者、專案小組、IT管理、業務處理負責人和職員。

而要考量風險的利害關係對象時，最重要的就是RACI模型，這4字分別是指執行者（Responsible）、當責者或應負責者（Accountable）、需諮詢的對象（Consulted），以及需告知的對象（Informed）。舉例來說，以下表第一項「治理」主題為例，執行小組和IT治理小組對應到R，代表這兩組負責執行決策，而企業風險小組則對應到C，也就是需要諮詢的單位。至於對應到I的職員，則是要被通知的單位。（如下圖）

他希望，除了ISO 27001之外，這套資安風險量化評估框架，可以成為臺灣企業的另種選擇。