從台灣產業特性來看,我們重視這類型的資安風險嗎?
有人覺得,台灣以中小企業、代工製造為主,可能不會引發這麼嚴重的資安事件。尤其是企業經理人以生產效率為先,資安是個阻礙效率的因子。在缺乏績效考核與激勵之下,主管多半對於資安無感。一旦遇到資安事件,我們發現客戶「息事寧人」的行為:一種是中階IT主管掩蓋事件,資訊長一直蒙在鼓裡;另一種客戶要資安公司扮演「內部化妝師」,掩蓋他們IT部門被檢討的困窘。
然而,第一線資安╱IT人員也有話要說。在專業分工情況之下,很難整合複雜的資安議題。就在不久前,我們協助客戶進行資安現況的盤點。一開始討論資安政策、電子商務風險,最後是公司整體的資安風險。上述議題並不完全由IT部門負責,有些還跨足到生產單位與總經理室。IT部門是「無權有責」,平日管不到,出了事要扛責任。就算是資安部門或風險管理部門,也無法掌握集團事業單位分散式IT管理的資安風險。
我們不希望真實的案例發生在自己身上,但要如何防範於未然呢?
從過去國際矚目的資安事件,到國際資安法令的更新,國內的相關法令也與時俱進。除了今年實施的資通安全管理法,2018年公司年報也被鼓勵加註資安風險。去年底,臺灣證券交易所發布法規修正重點,公司年報加強揭露資安風險。從風險預防、緊急應變、危機管理,到營運持續,在年報中陳述的政策與措施包括:風險管理組織架構 (如、董事會、風險管理委員會)、資訊安全政策 (如、內控重點、標準作業流程)、建置資安風險管理系統、資安與網路風險之評估、資安管理系統驗證 (如、ISO 27001)、資安保險之安排 (如、承保範圍及保額等),與已發生重大資安事件之影響及因應措施。
為何資安和企業的營運持續有關?根據英國營運持續協會(Business Continuity Institute)的調查,在前十大營運持續風險中,網路攻擊與資料外洩分別位居第一、第二。從2016年至今,這樣的排名在過去三年並未更動。資安不僅是風險管理的議題,更是影響到攸關公司生產營運的生存關鍵。
面對資安造成的營運中斷風險,某家半導體公司董事長自問自己能做什麼?如果按照持續營運計畫標準作業流程(SOP),重大事故在兩個小時稟報廠長。然而,在第一次資安演練之後,全廠一小時內停擺。顯然公司既有的緊急應變流程,無法因應資安事件的新挑戰。這些都必須根據資安的情境,調整既有的持續營運計畫。
至於欠缺人才與資源的中小企業能做什麼呢?我們正在協助客戶調整資安體質,以便因應國際大廠資安稽核合規之要求。在客戶尚未導入ISO 27001之前,我們偕同技術專家逐一評估以下項目,如:資訊安全政策、高階主管教育訓練、機房安全措施、各廠區生產連線之區隔、IT營運中斷、恢復整體營運的時間、IT機房復原計畫、資安設備或設施、使用者權限管理,甚至系統整合商與資安委外廠商資源等。上述項目也是資安保險鼓勵被保險人自我體檢的重點。
資安成為企業經營風險的「新常態」(New Normal)。根據2018年韋萊韜悅與英國經濟學人(Economist Intelligence Unit)全球性調查發現,受訪企業在資安重點項目與預算分配比重分別為:防禦技術(20%)、人才培育(19%)、營運持續(Business Continuity)╱災後復原(Disaster Recovery)(16%)、激(獎)勵員工(16%)、教育訓練(15%),甚至資安保險(15%)。這與國內公司年報加強揭露資安風險的重點不謀而合。除了ISO 27001,數位韌性的趨勢正朝向營運持續與資安保險之緊密結合。