經過這幾年的發展後,內部員工對於資訊安全的威脅與重要性,已經成為大家無所不知的觀念。很多管制措施只要扯上這個議題,都很容易獲得組織高層的買單。當然,這類措施要成功導入有很多非技術性的問題需要克服,但是基本上這些管制措施所面臨的問題已經不是是否有其必要性的進入門檻。以廣泛的角度來,”人”確實是資訊安全最重要卻往往也是最脆弱的一環。但是這裡所謂的”人”,不應該只是 (基層) 員工,而是組織內的所有組成人員。事實上,如果以重要性而言,高階主管 (尤其是所謂董事會與 Executive 層級的長官) 對資訊安全的影響更甚於一般員工。
這句話包含兩個基本的層面。以積極面來說,所有資訊安全措施的實施都需要組織所提供的資源。資源包含人員與預算等有形的事物,以及組織制度與文化支持等無形的事物。有形資源與無形資源之間或許互有關聯,但是如果連無形的資源都不願提供,直接將資安問題推託給組織預算不足,可真得是很不負責任的說法。在實務上錢少有少的作法,只要保持正確的觀念與心態,一樣可以獲得適當的保護。反之,如果只想砸錢了事,那麼想要真正增進資訊安全就跟緣木求魚沒甚麼兩樣。不管是有形或無形的資源,說到頭來都需要組織的高階長官支持才有可能實現。所以說,高階長官才是組織資訊安全成敗最重要的因素。事實上,如果高階長官對於資訊安全沒有展現出足夠的支持,當遇到資安事件時將無法免除法律上的責任。另外一個消極面則是當組織開始執行措施時,高階長官如果不願意遵守這些規範而要求例外處理,那麼這些高階主管就造成了機制的漏洞。再加上高階主管所經手的重要與機密資料較多,一旦發生問題時所產生的危害自然也大於一般員工。所以高階長官的支持不但在於口頭上,更在於行動上。高階長官確實遵守公司的資訊安全政策,不但能夠免除資訊安全管理上的困擾與漏洞,更能達到帶領員工一同遵守的目的。
以台灣常見的中小企業而言,這個議題或許更加明顯。不管是從積極面或消極面來看,高階主管 (或更直接的說法就是老闆那個人) 往往才是改善組織資訊安全最必須先處理的絆腳石。當然,老闆這個絆腳石不能夠移除,而是要讓他變成助力。這不是一件很容易的工作,因為中小企業除了在資源上較為短缺之外,在面對問題的時往往也比較無法以長遠眼光來看待問題。以資訊安全來說,其實就是管理風險,但是中小企業的思維大概都只看機會,鮮少有人會考慮到風險。面對業務如此思考,面對其他事物也是如此思考,因此資訊安全對這些企業來說幾乎是不存在的事情。其實這也不能怪老闆,因為老闆的責任是經營公司,如果他不知道資訊安全對於經營公司的重要性,他又怎麼會重視呢?身為資訊安全從業人員的我們不能寄望每個老闆都是具有真知灼見的思考家,因此如何讓這些老闆們了解資訊安全的重要性,是我們不可推卸的責任。
相關連結:
沒有留言:
張貼留言