最近在看104有關資訊安全的工作需求時,看到幾家公司有所謂的資訊安全工程師的職務,內容有些部分似乎是有些奇怪了。
其中一個就是資訊安全"工程師"必須訂定安全政策。安全政策的制定基本上不是一個工程師應該負責的,也不是一個工程師有權力負責的。政策算是比較高層的描述,不但會影響到整個公司,甚至必須貼近管理階層的想法。根據權責相符的原則,工程師沒有這麼大的權利,所以這樣的責任也不應該落到工程師的身上。有些人會再將政策細分,由上而下分為三種:Global、Topic-specific與Application-specific。而這些政策的負責人,都是該業務的負責人,也就是經營階層、單位主管與資訊資產的擁有者(資訊的擁有者並非所謂的系統管理者)。當然,經營階層沒有時間,也通常沒有足夠的專業去制定安全政策,所以通常是委由資訊安全長(CISO)制定後,交由經營階層或所謂的資訊安全指導委員會(Information Security Steering Committee)決議後才能公佈。即使是最底層的政策(Application-specific),負責制定的人也是該資訊資產的擁有者,而不是資訊系統的管理者或工程師。
會出現這個現象,或許還有一個原因,就是"政策"這兩個字被濫用了。我們常常看到作業系統或是其他資訊系統出現"政策設定"的功能,所以誤以為這些設定的項目就代表了政策。從前段的說明,這部分可以算是Application-specific的政策。所以為了有效區分,我們會將這些設定的規範稱之為標準(Standards)。當然,這些標準必須符合高層次政策的需求,或者是高於高層次政策的需求。政策與標準的分法,除了有所謂的層次高低之分,政策應該跟特定的系統或技術無關,而是跟公司的經營政策有關,而標準就是跟特定的系統與技術相關。因此,政策應該是不易變動的,而標準會隨著系統或技術的變更而變動。
另外一個現象就是資訊安全工程師必須監測資訊安全的執行狀況。嗯,這個就好像請倉管自己兼門口警衛一樣,東西不被偷光才怪。當然,有些系統具有稽核的功能,理論上可以避免這樣的問題的發生。但是從單一的系統著手,可以鑽的漏洞還是很多。像公司如果有一個規定是禁止使用MSN,但是通常誰可以使用MSN...大老闆,還有管理防火牆的那個人(可能還有一些他的麻吉)。出違規使用的報表?別忘了很多時候報表是可以修改的。事實上,我們也遇過客戶要求我們產品出的報表必須可以修改。要求的人可想而知,正是當然是所謂的MIS。
所以,我們需要透過獨立的稽核去確保政策或規定被有效落實。如果公司真的沒有足夠的資源,而且規模也沒那麼大,老闆就應該表現出關心的樣子,千萬別一付默不關心的樣子。如果真是這樣子,那就只好多巴結負責資訊/資安的工程師了,免得他把公司給出賣了。我相信人性本善適用於大部分的人身上,但是現今的資訊安全往往是禁不起任何一個惡人的破壞,所以完整的內控+內稽(必要時需加上外稽)將是越來越形重要的需求。重點是內控跟內稽必須由不同的單位所負責,這也就是所謂的責任分割(Separation of Duty)的安全原則。
從這些職務的需求可以看出,大部分的公司對於資訊安全這個議題還有很長的一段路要摸索。而從業人員呢,我想也必須自己摸索出屬於自己的路程。
最後,我要說MIS工程師不是萬能的,資安工程師更不是。千萬不要有資安兩個字就是資安工程師的負責範圍,就像不是有電這個字就是MIS負責的範圍。
沒有留言:
張貼留言