有當過兵的人都知道,軍中不管做大大小小的事情,總有一堆表格、資料要填寫。我當兵時負責機房/設備的管理,要填寫的表格,包含輪班表、值勤記錄表、訪客紀錄表、日常保養表(日、周、月)等等,可說是每天有填不完的表格。這些表格,往往也是各級長官的最愛,沒事總要來進行一下所謂的督導。督導除了檢查表格外,機車精實一點的長官還喜歡到處問、到處摸。例如有些長官甚至會檢查絕緣用的凡士林是否塗的過厚或過薄,也因此當時只能抱著如履薄冰的精神,不敢有一絲疏忽。如果運氣好,駐地剛好位於觀光勝地,三天兩頭就有長官前往督導也就稱不上是甚麼奇怪的現象了。
這些督導跟我們所謂的稽核意義其實是一樣的,就是為了確保所有訂定的規範是否有確實遵守,又是否有意想不到的問題發生。稽核在這幾年,因為 ISMS 的風行而受到相當的重視,當然有很大的一個因素就是政府等公務機關的推動。稽核的方法除了看書面的資料外,當然也同樣必須透過觀察、詢問加以確認。但是跟督導的情況不一樣的是,軍中長官通常是從基層幹起,所以對於業務的進行都有一定的實務經驗(至少我當兵的部隊是這樣的)。也就是說要看甚麼、問甚麼、聽甚麼,這些長官可是了然於胸。如果你想欺騙,往往也不是那麼容易(除了書面的資料可以稍微”修飾”一下)。而稽核,不管是第幾方的稽核,稽核人員不見得有實際操作的經驗,甚至可能連足夠的技術背景都沒有。另外,以現在資訊安全涵蓋範圍之廣,就算是有實務經驗的稽核人員,也多是僅限於其中少數幾個部分。當然,稽核是一門專門的學問,有它特有的專業要求。是不是需要有所謂的操作經驗或技術背景才能做好,倒也不一定。但是不熟悉表示被”呼嚨”的機會就會增加,而且是會大幅增加。有句台灣的諺語說得好,『軟土深掘』大概就是這個意思。
雖然身為資安從業人員,道德的遵守是職業的重要素養之一,但是我們也不能因此過於樂觀。更何況,人在江湖總有身不由起的時候。像是這近一年來景氣持續的低迷,或多或少都會影響到資源的利用與分配,所以業務受到影響也是理所當然。但是,稽核可不管這麼多。有做到就是有做到,沒做到甚麼理由也說不過去。而根據近期一份國外的報告顯示,有高達 20% 的資安從業人員承認自己或同事曾經為了通過稽核而說謊。這種數據通常實際的數字只會更高,因為不會有人假裝說謊,但是假裝誠實的人倒是有那麼一些。
我自己沒從事過稽核的工作,所以沒辦法說稽核該怎麼做才能了解實際的狀況,甚至是對組織有真正的幫助。但是我想最基本的要求是稽核跟被稽核的人,不應該處於敵對的狀態,而是應該採用合作的心態,共同找出問題並解決之。要做到這樣,除了雙方要改變外,更重要的是組織也要改變,畢竟員工的心態(至少做法)往往是受到公司文化的影響。如果公司就是鼓勵(或默許)稽核人員在雞蛋裡挑骨頭,或是只要求被稽核者敷衍行事(通常會發生在外部稽核,但是內部稽核也有可能,因為需要稽核的記錄),就是神仙也改變不了雙方緊張的關係。在此情形下,說謊也只能說是早可預期的反應了。如果稽核只變成了虛應故事,甚至是諜對諜的情節,那實在是很無意義且可悲的一件事。
相關連結:
沒有留言:
張貼留言