世銀建議：先做好身分認證與控管

世界銀行全球首席資訊安全長（CISO）James Nelms日前來臺參加第三屆亞洲銀行及金融科技論壇，除了分享世界銀行其IT風險的架構與評量方式外，他在接受本刊專訪時也建議，臺灣的金融業可以優先處理身分認證和存取控管的議題，透過合法的人存取合理的應用程式，降低內部IT管理的風險及IT管理成本。

世界銀行是一個針對全球超過100個開發中國家，提供各種貸款、建議及各種客製化金融服務的非政府組織。James Nelms表示，世界銀行相當重視各種IT應用帶來的技術風險，除了作業風險、法規遵循風險，政治風暴以及商譽損失是重要的風險項目外，也相當重視經常被各種風險控管模型所忽略，且常被視為營運風險（Business Risk）的技術風險（Technology Risk）。

不論哪一種風險，都必須先予以定義，世界銀行則以沙賓法案（SOX）作為界定風險的標準。James Nelms說，「採用SOX有一個好處，就是所有潛在的可能損失，都可以用錢來衡量，包括技術風險在內。」他進一步解釋，包含沙賓法案、GLBA、HIPAA等對企業的規範，都可降低企業對外部法規遵循的風險；對於企業治理而言，COSO（企業風險管理框架）與Basel II（新巴賽爾協定）等法規，則可以降低企業的作業風險（Operational Risk）；對於IT治理而言，企業可以透過符合ITIL、CoBIT、CMMI、ISO/BS及TRC等規範，以降低企業的技術風險。

世界銀行則透過5個層次的縱深防禦：網路、作業系統、資料庫、中介軟體（Middleware）及應用程式等5個層次，來管控技術風險。「因為沒有100％的安全防護，也就是沒有所謂的零風險，要在單獨一個層次達到100％的安全是不可能的。」James Nelms說。所以，透過分層保護（Layered Protection），累積高一點的安全性，並做到每一管控層次先進行分層評估，讓可以管控的技術風險，對相關管控的項目都保留容錯與由IT部門提需求改進空間。

James Nelms除了肩負世界銀行提供各種金融服務所需的資訊安全以及風險管理責任外，並涉獵電腦網路系統、營運核心系統、網路應用程式（Web-based Application）、電子商務及線上交易系統等，深知業務流程並參與系統實際架構過程。他說，由於銀行業是一個必須先獲得使用者信任的產業，資訊安全就是商業營運很重要的因素，不過這個重要關鍵，對於許多IT部門或IT人員而言，往往都是「技術」上的問題，甚至，是企業資訊長或資訊安全長爭取資安預算的藉口。

也因為資訊安全是一個商業營運而非單純IT技術的問題，James Nelms建議臺灣金融同業，除了法規遵循等外在因素外，「做好身分認證與存取控管，利用合宜的IT工具與技術，進一步提升同仁的資安意識，將有助於降低銀行內的IT管理風險以及成本。」James Nelms說。

銀行的營運系統不能做到應用程式歸應用程式、使用者歸使用者的IT治理的模式，而是「由人控制營運流程，而IT支援營運流程。」James Nelms說。因此，身分認證與存取控管將成為銀行進行風險管理中很重要的一環。他指出，「其中則包含很重要的身分與認證的問題，以及授權的問題。」，也就是說，辨別員工身分，讓對的人擁有合法的權力，存取到對的系統並獲得對的資料。

舉例而言，以目前常見的單一登入（Single Sign On）來看，多個系統都可以透過一組帳號、密碼登入，對使用者雖然有足夠的便利性，但對駭客而言，也同樣只要一組單一帳號與密碼，就可以入侵企業的資料庫。也就是說，「當系統認證步驟越少時，企業就得花更多力氣去維持系統原先應有的認證強度。」James Nelms說。他指出，銀行內至少有40個以上不同功能的應用程式，一旦沒有做好身分認證與存取控管，光是管理風險上可能造成的營收損失，都將難以估計。

在技術層面上，James Nelms也認為，資訊系統邏輯上的正確性比工具更重要。他進一步解釋，銀行面對各種外在資安威脅，不論是病毒或是木馬程式的威脅，都有回復的能力，但只要是資訊系統的邏輯架構一旦出錯，即使看起來正確，都可能導致資料不正確的情形。此外，他認為資安意識的提升，問題不在技術而在人，因此必須持續性的反覆提醒，才能發揮應有的功能。文⊙黃彥棻