資訊科技安全必須依靠員工竭誠參與 蓮達•柏勤(聯邦快遞亞太區首席資訊總監)
談到世界上最可靠的資訊安全措施,相信即使是再好的技術解決方案,也比不上一套內容完善、徹底實行的資訊安全政策。
如同許多行業,航空快遞業近年來積極採用先進的資訊科技技術,迅速改變了服務客戶的方式。聯邦快遞每年更投資超過十億美元在資訊科技上面。誠如聯邦快遞創辦人施偉德(Frederick W. Smith)所言:「貨件的資訊和貨件本身同樣重要。」
然而進步也需要付出代價:公司必須保護資訊科技系統,免於病毒破壞及數據外洩,甚至防範惡意入侵。數據外洩經常始於非常個人化的行為──員工與朋友於咖啡廳喝咖啡,同時利用公司的手提電腦瀏覽網頁和收發私人郵件。大部分的人都知道防火牆、密碼、數位憑證等技術上的防範措施,但這些只是資訊安全的一部分,而一套支援以上安全措施的政策同樣是不可或缺的。
對於成功的全球性企業而言,制訂一套卓越的安全政策,並確保相關政策能得到重視,及以目標明確且有效率的方法傳達至公司各級員工,是至關重要的。
根據電腦科技業協會(Computing Technology Industry Association)的調查顯示,在過去六個月,近四成受訪的美國公司稱曾遇到重大的資訊科技安全違規事件。若是能夠考慮到員工因素,能避免多少類似上述的違規事件呢?員工不小心遺失手提電腦、黑莓機(Blackberry)或其他行動裝置,在家中使用不受保護的網路處理公事,或下載未經許可的軟體至公司網絡,這些都是資訊安全問題的根源所在。簡言之,有效的安全政策是企業不可或缺的防護工具。
矛盾的是,除非企業發生嚴重的資訊安全事故,否則管理階層通常都不會注意到安全政策。而最有效的政策並非在危機出現時才制訂,而是企業在有系統地檢視安全需要後,因應實際情況而不定時制訂和更新安全政策,及把政策上傳下達。
因此,如何制訂一套最適合的安全政策便是企業需要考量的問題。大型企業和其決策單位在這方面一向都不遺餘力,投入龐大資源訂定政策。聯邦快遞於每一工作日皆遞送超過330萬件貨物,同時也需要處理這些貨件的資訊,因此深切了解完善的資訊科技安全工作的重要性。聯邦快遞對資訊科技安全的重視並非只停留在執行層面,而公司的決策當局亦參與其中。
訂定政策的進程
全球性企業必須將安全政策與總部及地區性的業務策略相互協調配合,才能協助其發揮最大功效。否則,在實施政策時便可能會遭遇問題,例如不同業務單位的風險承擔能力各有不同,或者是法律和業務營運部門間的文化差異等。此外,安全政策必須符合成本效益,以便於每個業務市場順利推行,並且必需與員工持續溝通。公司全體員工皆須責無旁貸的協力履行資訊科技的安全防護工作,而非將責任交由資訊科技部門獨力承擔。
企業首先應著眼於法律規定,履行法律上規定實施的安全政策。企業遵守相關的法令和規定,便可在接受審計,或是面對新的網路威脅前,擁有和實施一系列適當的安全監控措施。
其次則為檢視企業本身及客戶在作重大決策時運用到的資訊,並區分重要、機密的商業資訊。必要的檢視項目包括最新財務資訊、客戶資料,以及應列為保密的公司資料,例如用來付款的信用卡資料。另外,提供客戶或服務供應商使用的機密資料或數據系統亦不可忽略。
之後必須確定公司在資訊科技安全方面最弱的環節為何。安全政策看似簡單易行,卻往往帶來嚴重後果。以企業規定必須轉換密碼的周期為例,「白帽駭客」(White Hat Hacker)可協助企業了解安全政策的履行情況,並找出安全上的漏洞,如命名機密資料的習慣,及容易被探測到的密碼等。
再來便是選出管理及施行安全政策的員工。此環節的關鍵為安全政策施行小組的組成,除了有資訊科技部門的員工,亦應包括其他部門的成員,例如法律諮詢部門、人事部、審計部等;此外,不同使用者群組的參與當亦是不可或缺的。安全政策施行小組必需經由高階主管的承認才能確立地位,而高階主管則須了解資訊安全的重要性,並確知若不貫徹執行安全政策將帶來的風險。
聯邦快遞設有企業資訊安全議會(Enterprise Security Council),負責管理及執行資訊安全政策。此議會以美國總部的管理階層為首,成員包括來自世界各地的代表,旨在不斷檢討及更新安全政策,使政策更趨完善,以確保資訊無時無刻都受到妥善保護。此外,議會亦負責與企業股東聯繫,以便預先進行政策的置入測試。
最後,企業必須訂定清楚的發展進程。公司常常犯下操之過急的大忌,希望工作皆可即時完成,卻沒有預設政策實施後的過渡時期,亦沒有設定願意投入多少資源。不合理的期限和期望只會阻礙政策的實施。此外,回顧與更新政策更是發展進程中不可或缺的一環,因為新的威脅隨時可能出現,而舊有的問題仍有待解決。因此,企業上下必須認真貫徹執行並了解安全政策,才能幫助企業長久維持的良好資訊安全風氣,樹立正確的安全態度和做法,以及確認安全政策無庸置疑的重要性。員工能夠確實明白和遵守安全政策,更是企業推動優良安全措施的不二法門。