搜尋此網誌

2009年1月13日 星期二

安不安全,存乎一心?

今天在跟多年前的一個主管聊天時,他告訴我一個有關資安的笑話。

他說有一家推廣SaaS (Software as a Service)的公司到一家醫療機構去推銷。大家都知道,醫療院所有很多患者的個人資料,而這些資料都是相當的機密。如果不能善加保護,不但會受到處罰,而且對院所的形象影響很大。而SaaS在安全上的一個問題,就是資料本身如何受到保護。又資料儲存地點對於資料保護的法規可能跟資料擁有者所在地的法規不同,所以使用者要確認的是符不符合自己的(保護)需求,而不單是聽廠商自己的說法。所以這個客戶的承辦人員就回了:「我們的資料都很重要,我怎麼知道資料送到你們那邊會不會發生甚麼事。」姑且不論這個是阻擋廠商繼續糾纏下去的藉口,還是真的有所擔心,我個人覺得並不算過分。但是…奇妙的事情馬上就隨即發生了。就是有一個年輕人,利用旁邊的電腦,並在兩人的見證下,透過隨身碟帶走了一些資料。廠商覺得很不解,就問說那個人是誰,他在做甚麼?結果承辦人員回答得還真妙,他說他也不認識那個人,更別說知道他到底幹了甚麼?

這樣保護客戶資料的決心,你聽了之後是覺得會心一笑,還是想趕快問到底是哪家醫療院所?我想這個問題最根本的原因,就是沒有明訂資料的擁有者與保護的執行者為誰,或是兩人的權責不清。兩人對於保護資料都有直接的責任,而責任當然就必須對應到獎懲才會有其效果。

資料擁有者(通常是老闆或是單位主管)必須知道資料需要何種的保護,並據此決定一些相關的保護措施(或是由資訊安全人員提供建議),而實際的操作則交由資料保護的執行者(例如DBA)。往往資料擁有者因為工作繁忙,會將規劃安全機制的任務交由其他人員代理,這個人我們稱之為Custodian。不論是不是透過Custodian,資料擁有者保護資料的責任都不會消失或轉移。而Custodian或是資料保護的執行者,其責任應該只包含交付的部分,而不是資料的本身。例如DBA必須保護資料庫內客戶資料的安全,但是如果是工讀生透過CRM系統取得並帶走客戶資料,往往就不是DBA的責任。這個例子當然比較不會有爭議,因為通常DBA是一個獨立的角色,而且其負責的部分很明確(就是跟資料庫相關)。但是對於其他角色(如系統管理者)就沒這麼好運了。

回到笑話本身。如果當初廠商接觸的人只是一個保護資料的執行者,這樣的情形並不奇怪,只能說廠商找錯人了,或是說是他還沒有辦法接觸到高層就被打槍。但是如果他找的是資料的擁有者或是Custodian,那他不是不得人緣,就是公司制度沒有辦法讓承辦人員感受到保護客戶資料對於他工作的重要性。後者的責任其實不在他,而在於公司對於資訊安全的認知與制度。如果公司沒有辦法將資料保護的責任與獎懲綁在一起,出現這種情緒化的反應,自然也不見怪不怪了。

沒有留言:

張貼留言

About