搜尋此網誌

2008年8月15日 星期五

信任是安全的基礎

今天看到一篇文章,內容講的是從所謂卡神楊蕙如現象所延伸的社會價值錯亂的問題。其中一個影響就是信任感的喪失,所以大家就習慣了以小人之心度君子之腹的思維,甚至成為日常生活的行為準則。我本人對於文章內的闡述相當贊同,也想到了兩件與信任有關的資訊安全議題。

首先,目前很流行一種叫做端點(Endpoint)安全的產品。簡言之,就是想辦法保護組織內所有的網路端點設備(個人電腦、筆記型電腦、PDA等等)的安全。當然,除了保護之外,也有管理(限制或監控)的功能。延伸來看,管理的目標其實不只是這些端點設備,更是端點設備的使用者。以前大家都很在意駭客的攻擊,現在企業更擔心來自內部使用者有心或無意的行為而影響了資訊安全。雖然大部分的數字的確證明多數資安事件的發生與造成的損失都來自於內部因素,但是這樣的產品也正式宣告企業對於員工的信任已經受到廣泛的挑戰。從前只有一些特定的重要資料或系統會執行嚴格的監控控制,現在則已經延伸到幾乎所有的行為與操作。這對資安產品的廠商來說當然是一件好消息,但是對員工來說可不是這樣了。不過,我個人認為適當的管制措施是必要的(所謂的適當是因時因地因公司而異)。只是,要如何讓善良的員工了解其必要性,進而主動加以配合,這個是比單純的選購與部署產品來的難多了。但是就像導入所有資訊系統一樣,這是確保成功的最重要因素。也就是讓員工信任公司這樣做並不是因為公司不信任員工,而是為了保護公司與員工本身。

第二個相關的議題就是很多專業的證照,都有遵守相關道德規範的要求。當然,這些要求除了書面的考題以外,往往就是一個打勾確認的動作。既然看起來這麼沒約束力,那麼到底為什麼要花心力去做這些看不到明顯效益的事情。我想,專業是需要客戶的信任,而專業的證照更需要客戶的信任以維持它的價值。要取得客戶的信任,就應該遵守所謂的職業與社會道德,不就是這麼簡單。你通常會希望跟一個很專業卻沒有道德的人合作,還是有道德也具備一定專業程度的人合作?這點對於資訊安全從業人員尤其重要。因為資訊安全從業人員所做的事情外界本來就比較難以了解,再加上對系統或架構擁有較深入的了解與更高的權限,如果真要做壞事,還真是不容易預防與察覺。所以,企業在從事資訊安全從業人員的招募時,自然會進行比較嚴格的背景審查。而資訊安全從業人員更應該好好愛惜自己的羽毛,千萬別因為一時失誤,而做出了違反職業或社會道德的行為,影響了自己的Credit。當然,有時候要維持道德的行為是很難的,甚至道德本身也有不同的詮釋。不過,維持道德是我們基本的底線,也是最重要的行事準則。否則一旦客戶失去了對你的信心,也失去對其他安全從業人員的信心,甚至是你所擁有相關證照的信心。正所謂任重而道遠,互勉之。

相關連結
看楊蕙如現象背後的社會價值

沒有留言:

張貼留言

About