上一篇文章談到如何建置一套能為企業真正帶來效益的ISMS,而這篇將以更多資安顧問的實際輔導案例來說明,在企業專案導入現場,身經百戰的顧問能給予哪些協助,又雙方如何配合才能為企業創造更多的價值與效益。
資安措施可以說是每一家企業不能說的秘密,因此面對首次合作的外部資安顧問,企業執行團隊難免有所保留,尤其當問及是否曾發生過資安事件等較為敏感的問題時。因此顧問在專案啟動之際首要任務便是建立與執行團隊之間的信任感,專案承辦人真正相信顧問能為企業帶來助益,才會願意開誠佈公,顧問也更能傾囊相授。
在我們顧問的輔導經驗中,發現企業執行團隊若能夠拋棄本位主義,肯開口與顧問討論交流,將更有助於改善資安控管制度。例如,某客戶有許多機密數據存放在隔離的環境中,透過他們自行設計的資料交換機制傳送出來且行之多年,在量身訂做的ISMS輔導過程中,顧問循序漸進引導了解其資料交換方式,進而看出某環節存在漏洞,給予改善強化建議後獲得客戶更高度的信任。
而這樣的例子在輔導過程中比比皆是,許多企業習以為常的作業模式可能都存有潛在資料外洩風險,顧問就如同「抓漏」專家,找出可能的外洩管道,而辦公室中的多功能事務機就是常見資料外洩管道之一。當使用者按下文件列印後,多功能事務機上便產生佇列工作並將文件列印輸出,而此佇列若列印完成未立即刪除很可能就會成為外洩管道,試想當事務機維修工程師手持USB裝置要為機器更新維修,恰好能將暫存在事務機上的佇列檔案複製帶走,並且不留痕跡。
顧問不僅協助強化IT系統的安全也包括實體安全,例如許多辦公室門禁所使用的電磁鎖是靠電流產生磁力來達到鎖門效果,若發生停電,大門是否有其他配套措施能防止門戶洞開?這些都是企業較常忽略卻容易出現風險的日常事務。
協助補強企業作業流程上的缺失與弱點是顧問的基本功,不僅如此在輔導過程中,顧問還能為企業IT採購與評估注入新觀點。作為企業資安顧問,經常有客戶詢問該買哪一個廠牌的防火牆等資安設備,不能違背中立立場的顧問,建議客戶可採用資訊資產風險評鑑的方法來評估IT設備的採購。畢竟在導入過程中也都需要為資通訊資產進行風險評鑑,何不在採購評估過程中就納入風險評估方法論?資安設備供應商應有能力為自家設備做出資安風險的自我評估,將設備弱點遭利用的可能性,及一旦發生事件影響業務運作的衝擊性等一同納入考量。
接著將評估後的結果報告與具體風險數據提給老闆,由企業主做最後定奪。這也是我們建議作為一名資安主管最適合與企業主溝通的方式,資安主管的職責在於以各種方法或證據提出企業哪裡存在有風險,由企業主裁決風險處理方式或選擇承受風險。而不是一味認定多講無用,直到出事後老闆一句「你怎麼不早點講?」資安主管只能默默扛責。觀念改變;資安應變防護隨之提升。
每家企業建置ISMS有不同的動機,但目的都是希望能打造一個有韌性、能讓組織持續運作的機制,同時也讓人員能具備風險意識及熟悉風險處理措施。我們也曾看見在一些組織的IT部門不是由固定人員負責ISMS的推動與維護,而是由IT部門各小組每年輪流主辦,如此不但讓所有IT人員都有機會接受ISMS資安稽核與建立風險意識訓練,同時也能避免人員做久了可能因人情壓力而放水的弊端,是企業可以參考的範例。
最後,資安不是取得證書就結束,而是一個持續改善的過程。企業在取得證書後可以自己運作並且持續改善,每年重新檢視識別的風險並提出改善項目,如從備份3台主機到備份5台,或是提供人員不同的教育訓練項目,甚至是擴大驗證範圍等,而顧問能以中立的角度提供改善建議,幫助企業持續進步。
