這個場景發生在9月商周CEO學院〈數位領導力〉課程。兩位學員分享自己親身遇到的資安威脅:
學員A /中小企業CEO
我們員工看到mail,以為是供應商要求,沒有透過電話查證,就直接匯款出去。剛剛發生的時候,我們都很納悶,我們有嚴格的財務線上流程呀,簽呈與付款的每個關卡,怎麼都看不出來?其實後來發現,駭客很可能已經長期潛入在公司資訊系統,連e-mail都改得很像是我們供應商的,觀察你知道你在做些什麼。我覺得,比起買什麼硬體或軟體防護,員工的意識才是最重要的。
學員B/中小企業二代
我們曾經遇過,郵件伺服器被駭客入侵,但因為這個伺服器是外部的廠商在代管的,我們遇駭時,問廠商發生什麼事,他們好像完全不知道我們是他們的客戶,查了半天也沒有回應,整個狀況外。最後處理完之後,雖然我們也換掉了這個廠商。但損失還是發生了。
安永企管諮詢公司副總經理陳志明擔任〈數位領導力〉客座,以「數據治理與資訊安全」為題,分享他的觀察。
他指出,與前兩年相比,上市櫃公司被法規要求設資安長、取得ISO 27001等認證,防護力較過往提升;中小企業不像上市櫃公司擁有龐大資源。但這並不意味,中小企業就做不了資安控管。
重點1:提升員工資安意識是對的 但光是上課不夠
當前,多數企業領導人看待資安,仍然覺得只要委託專業或技術人員就好,是資安或是技術部門要負責的,不覺得有必要提升到「治理」的層級。
也因此,台灣多數企業對資料管理還停在各個部門各管各的,不同系統之間交換資料困難;隨著企業加快數位化的腳步,機聯網、物聯網進入日常營運,資料快速累積,可被攻擊的接觸點增多,資訊安全風險可說比過去任何時候都更高。
這時如果企業有企圖心要善用數位科技,運用資料來創造商業價值,這時一定要討論到資料要怎麼管,資料運用如何與創新策略、變革管理配合,光靠技術人員是管不了的。
「資安是數據治理的底層結構, 底層結構上面有業務 、行銷、產品管理、專利管理,你要在維護資安前提之下,建立一套你對於數據治理的看法。這件事情並不容易。」陳志明指出,因此,資安管理不只是要防止駭客來偷,還要不外流、不損失、創造價值。
資訊安全的三大面向是:人員、技術及流程。如同學員A分享的,最容易著手的是員工,一定要提高員工意識。
不過,即使要求員工上課,如果沒有持續在日常營運中實踐安全行為,只會流於形式。
重點2:數據治理底層 資安防護要找出高風險弱點
「各位學員,你的公司裡有沒有人,既做管理職,又管財務,還能夠隨時拿到顧客資料?拿到研發資料?」「這個人如果拿著資料走了,你的公司會怎麼樣?」
陳志明問現場學員。
員工職離之後,帶著客戶名單與專利資料,跳到對手陣營,是常見的資安漏洞。
對應機敏資料外流,有制度的公司一種做法是,有意地造成資料的斷點,例如,直接將研發分為硬體與軟體不同團隊,限制不同部門員工只能看到一部分資料,再透過流程結合,完成產品研發;另一種做法則是請顧問公司來全面檢視資安脆弱點。例如,在去掉個人識別後,分析有沒有哪些員工是容易跳槽,或他的網路行為看起來是有比較大機會外流資料的。
「知道之後不是說,『這個人就是不能信任』,而是要看,脆弱點在哪裡?」他接著提醒學員,「有沒有那種,「一旦發生公司就沒辦法營運的?會倒閉的?」弱點一定要找出來。
重點3:外包廠商必須可以長期信任 不能成為資安弱點
中小企業還有一種情況是,因為資源有限,經常會將重要的伺服器、資料倉儲,還有資安維運交給外部廠商。
「但這個廠商是不是有值得長期合作?值得信任?」他指出,要辨別這點,很可能不是表面的評估就夠的。舉例來說,有一家資訊服務公司做某種特定交易APP,市占率高達9成,這個行業裡有九成企業都委託它來做。當然這家公司很可能是很好的,但從某個角度來說,一旦這家企業資安有漏洞了,這九成企業都同時曝險。
中小企業的資安脆弱點,可能是密碼太弱,可能是系統管理員沒有發現,員工在下班之後將VPN用在別的用途,也可能是外包的廠商,你的供應商資安能力太弱。甚至將重要的伺服務直接放在外網,沒有安全機制設計。
如何避免這些問題?陳志明建議,第一是要善用科技,因為靠著資料分析,其實是可以找出高曝險的脆弱點;第二,是要重視資料治理,將其融入日常的營運。而在進行管理時,除了企業內部人員,企業會接觸到的利害關係方,例如合作廠商、客戶、主管機關、會計師、律師等,也必須納入資安計畫,有相對應的管理程序,為資料使用建立規則。有了這樣的意識,資安管理才會上軌道。(全文完)
★更多精彩內容、現場問答、教授實戰經驗,歡迎報名商周CEO學院-CEO領導學程★