上一期我們談到了風險管理的基本概念和過程,藉由識別資產的價值,並進行可能存在的威脅與弱點分析,以便計算出所面臨的風險值。在了解企業現有的資安風險之後,接下來將說明應對風險的處理方法。
在生活之中,每個人遇到意外的發生,都會有不同的應對方法。舉例來說,如果錢包掉了,除了現金沒了之外,錢包內的信用卡、身份證件也跟著一併遺失,這時候你會怎麼辦?
相信大多數人的做法是,趕快打電話給銀行,先暫停信用卡的使用,然後登報將身份證件聲明作廢,重新到相關單位申請新的證件。那麼損失的現金呢?我想大概就只能摸摸鼻子,當作破財消災了。
不過,錢包就只會掉這一次嗎?如果萬一下次又掉了,或是被小偷扒走,那麼就只能再重頭來過,又心痛一次嗎?面對這種會造成財物損失的風險,難道沒有比較好的應對方法?
事實上辦法是有的,而且還有很多種,端看你如何選擇。像是有人會在錢包裡不放證件,或是不帶現金,只放一張額度最低的信用卡或提款卡;有人甚至出門不帶皮夾,而把現金放在口袋,證件放在另一邊,來避免雞蛋放在同一籠子裡的風險;還有比較極端的是,有人乾脆身上就不帶錢包了,反正和親友出去,若需花費,則請他人先代為付帳,日後再還即可。
風險處理的原則
以上提到的種種作法,其實目的只有一個,就是降低不想要的事件發生的可能性,以及萬一它真的不幸發生了,將可能造成的損失減至最低,而這也就是風險處理的基本原則。所以在生活之中,我們可能會直接選擇自己簡單易用,或是自認為有效的方法,不過,若是回歸到企業處理資安的風險,還有幾項重點是必須要去考量的。
首先要考量的就是,採用這些風險處理的方法,必須要評估所耗費的成本是否合理,並且能夠讓企業老闆接受。某位資安的前輩曾叮嚀:「千萬不要花五塊錢,去保護只有三塊錢價值的東西,這往往只會吃力不討好。」所以,若是為了防護某項價值並不高的資訊,而大肆添購眾多資安設備,要求做到高可用性,甚至於還做了異地備援,這樣的用心,恐怕只會被當成濫用企業資源而已,想必是一點功勞都沒有。
再來,請考量風險處理的作法是否會引起其他更大的風險。例如,企業為防止員工設定太過簡單的懶人密碼,使得駭客能夠輕易破解而竊取企業資訊,所以要求員工必須每個月更改一次密碼,長度必須英文數字大小寫混合十二碼以上,並且前十次不能相同。
這種作法,雖然可大幅提升密碼被破解的困難度,但相對的也會造成員工不容易記憶的困擾,而且如此一來,員工就很可能會將每次變更後的密碼寫下,甚至於可能直接就以便利貼貼在螢幕或鍵盤旁邊,這樣反而讓經過座位的所有人都可看到密碼,造成更大的風險。
所以,企業在要求做好資訊安全的同時,也務必去思考可能因為人性所產生的問題,千萬別忘了資安工作,其實大多時候都是在處理「人」的工作。
最後,應適時地評估風險處理作法的有效性。所謂有效性的評估,對管理人員來說是有難度的,因此,建議可採取適當的稽核方法,以確認相關人員是否依照企業制定的政策、流程、作業標準來執行工作,並且在稽核的過程中,以相關記錄的抽查並配合口頭的詢問,來確認工作人員是否達到「說、寫、做」一致。
以防火牆稽核而言,可以檢視其防火牆政策設置是否適當、政策的變更是否經過授權、如何進行政策變更、變更之後是否留下記錄等等。另外,也可詢問防火牆管理人員,是否定期審查設備所產生的Log檔,以及發生異常事件時,要如何進行處理與通報。
至於稽核的執行,可由內部的稽核人員,或是委由外部的資安專家來進行,建議每季或每半年執行一次,並且召開管理審查會議,以檢討是否有缺失,以及如何進行維護與改進。
風險處理的方法
至於風險處理的過程,基本上可分為避免風險、降低風險、轉移風險和接受風險四個方向來進行,以下為各項方法的簡要說明。
避免風險
在資訊安全的範圍裡,想要完全避免所有風險是很困難的。以境管局提供的服務為例,它必須要透過資訊系統和網路連線來進行,因此,資訊系統本身即有其作業上的風險,像是硬體設備損壞、人員操作失誤、軟體臭蟲等等,而網路連線亦存在包括網路連線中斷、駭客入侵攻擊等風險,所以若想要完全避免風險,除非捨棄資訊系統與網路的使用,但如此一來,恐怕就只能以人工來處理,但可別忘了,人工處理除了沒有效率之外,同樣也有其作業風險。
降低風險
正因為風險很難完全加以避免,所以管理人員通常可運用的就是降低風險的作法,也就是選擇適當的資安控制措施。例如企業擔心病毒入侵,所以會在電腦中安裝防毒軟體,這是一種降低病毒爆發風險的控制措施;境管局擔心系統會因硬體損壞而失效,所以建置了備援系統,希望在系統失效時,能接替原系統來執行工作,這也是一種降低風險的控制措施。
只是這些控制措施是否合宜,能否有效降低所面臨的風險,必須參考剛才已提過的風險處理原則。
轉移風險
有一些風險,像是地震、火災和水災,它發生的機會可能不多,但是一旦發生時卻會造成嚴重的傷害,雖然平常也可採取降低風險的作法,但是往往花費很高,效果也不顯著,這時候,建議最好的處理方法就是轉移風險。
舉例來說,企業若將最重要的營運資訊,放置在公司內部的機房,雖然機房已針對地震、火災和水災,作了適當的規劃防護,但是依然難防大樓遭到火災的侵襲,因此,若能再加保火險,即可補償災害發生時造成的損失。另外,若資料可委外備份到專業的資料中心,藉由資料中心提供更完善的防護,來確保資訊存放的安全,這也是轉移風險的另一種應對之道。
接受風險
如果有些風險所造成的損失不大,對企業營運的影響也很低,那麼與其花費金錢購置資安設備來加以防護,不如選擇接受風險,其實也是可以採行的辦法。當然,每個企業對於風險的接受度不同,這就有賴於先前是否做好風險的分析與評估,在事先計算出各項資產的風險值,即可依據各項風險等級來判斷是否為可接受的風險。
在此還要提醒大家,接受風險不代表就不必去管它了,可別忽略了風險的高低,有可能隨著外在環境或人為因素而變動,因此仍要定期的審查,尤其是針對資產價值較高,造成企業衝擊較大的項目。
結論
以上針對資安風險管理,僅以簡單淺顯的例子來予以介紹,希望透過識別資產、風險分析、風險評估與風險處理的過程,以達到管理風險的目的。
事實上,風險管理在各個產業都有很多不同的應用,若是針對資訊安全與IT系統,建議可以進一步參考由美國國家標準和技術研究院(NIST)所發布的「SP800-30 Risk Management Guide for Information Technology Systems」(下載網址:http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf),或是最新發布的「ISO/IEC 27005:2008資訊安全風險管理」國際標準,對於風險管理在IT的應用都有很深的著墨,建議讀者不妨有空仔細研讀。
最後,個人還想藉此強調一個觀念,就是資訊安全絕不只是架構防火牆、安裝防毒軟體,或是以技術對抗駭客入侵而已,其實它更像是一個全面的管理過程,在這個過程之中,將會牽涉到企業流程、組織管理、作業程序等等,所以資訊安全不會只是一個人或一群人的工作,而是企業由上到下都必須有共同的認知來確切執行,這樣才能確保企業不會因為發生資訊安全事件,而導致營運中斷或聲譽受損,才有實現企業永續經營的一天。