風險管理專家建議：資安應納入董事會風險指標

william77

不管一銀事件最後如何落幕，企業應該開始思考如何提升資安治理的管理層級，資安不只是營運作業，更應該與公司發展策略息息相關。

勤業眾信風險管理事業部執行副總吳佳翰表示，目前臺灣企業的風險管理委員會並未納入資安，加上許多資安與IT的風險很難量化，使得臺灣企業資安和資訊治理層級，一直未能有效拉高。

第一銀行爆發ATM盜領8,327萬元事件後，多數損失金額都由警方協助找回，但是，對一銀帶來最大的損失其實是商譽損失以及客戶信任。就銀行治理上而言，第一銀行一直以來都是模範生，是非常早期就已經取得包括ISO 27001和ISO 20000雙認證的單位，加上金管會對於銀行向來是高度控管，而且一銀在ATM上，也一直都還是採用SNA封閉網路架構的銀行，也難怪，爆發ATM盜領事件時，震驚社會及金融圈。
勤業眾信輔導許多金融業者取得包括資安、IT和個資安全認證，該公司風險管理事業部執行副總吳佳翰表示，目前臺灣企業的風險管理委員會並未納入資安，加上許多資安與IT的風險很難量化，使得臺灣企業資安和資訊治理層級，一直未能有效拉高。
ISO 27001和ISO 20000臺灣常以資訊部門為主
臺灣過去幾年，金融業在主管機關的要求下，紛紛取得ISO 27001作為資安治理的基礎，但是吳佳翰表示，這個資安認證主要是由資訊部門發起，再陸續往外拓展的認證，雖然許多銀行陸續把海外分行的資訊系統，都拉回臺灣總行一併管理，管理資訊部門的資安，可以解決大約8成的資安問題，但這樣還是不夠的。
他進一步指出，現在許多銀行有許多新型態的數位金融服務，無法納入既有ISO 27001控管範圍；加上海外分行系統拉回臺灣管理，在地的委外與法規遵循仍有一定需求時，在IT管理上很難出現零缺失；伴隨著近年來經濟不景氣，銀行缺乏資金與人力將資安範圍，陸續擴大到資訊部門以外；以及許多海外分行與業務端的營運都已經先通過主管機關的同意，要為了資安需求作任何的流程修正，難上加難；都使得ISO 27001最終只能作為資訊部門資安管理的證明，無法拓展到全行的資安管理證明。
ISO 20000則是針對IT部門提供的IT服務管理水準作認證的標準，更是侷限在資訊部門，吳佳翰便說，在ISO 20000認證範圍中，資安往往不是核心服務之一，要把這樣IT治理的觀念藉由認證推廣到資訊部門以外，難度比ISO 27001資安推廣更高。
董事會應該要具備IT專業，將資安納入風險指標之一
不論是董事會或者是經營管理委員會，普遍在意的議題是市場營運和策略，即便在意公司營運的風險，層次仍以關心是否有企業舞弊等高層次的風險議題，像是IT或者是資安都仍是為作業層面的議題，往往很難在這樣高層次的會議中被提及。
國外許多企業一旦發生嚴重的資安事件，公司董事長或總經理都需要下臺負責，資訊長下臺則是因為有明確疏失才會下臺負責。但是，以7月18日一銀董事長蔡慶年記者會上的懲處的說法，懲處的層級應該是從處長作為認罪的代罪羔羊，更上層的主管，看不出來有任何為此事負責之意。
吳佳翰表示，有許多公司基於董事會職能的提升，保障投資人權益和維護公司信譽，慢慢會在獨立監察人的名單上，納入具有IT專長的人，只不過，這樣的風氣之前並不盛，或許在一銀事件後，對於許多企業的公司治理上，會有新的啟發。
資安風險要從「不做，會對公司帶來多少損失」著手
不管一銀事件最後如何落幕，許多企業也可以從中學習一些經驗教訓。吳佳翰指出，企業應該開始思考，一定要提升資安治理的管理層級，資安不只是營運作業層面的事情，更應該與公司發展策略息息相關。他解釋，風險管理委員會不管資安，因為資安不是經營作業要面對的風險，而是IT部門要管的事，但從一銀的事件過後，許多企業的觀念應該要調整，資安風險其實就是公司營運的風險。
因為要把資安納入高層的管理指標之一，吳佳翰認為，許多量化管理的指標就應該更即時，他甚至建議，財報的部份除了實際營收的數據外，也應該要有一份非財務資訊的相關報表，而「哪些資安風險沒有獲得控管，將對公司帶來多少損失，才是該份報表應該呈現的面向之一。」吳佳翰表示，最好的例子其實就是可口可樂，該公司的品牌形象，早就超過公司總資產的一半，這也是臺灣企業在經營管理上，應該思考的角度。
若以一銀為例，因為資安沒做好，實際金錢損失少於八千萬，但是，商譽的損失和客戶信任感的損失，早就超過八千萬之譜。
金管會要求銀行建立資安演練機制，如何落實才是重點
一銀事件後，金融主管機關則要求銀行業應該要建立金融機構資安演練機制，像是資安防駭的演練，就應該要模擬資訊系統遭駭的情況為主，勤業眾信資安科技暨鑑識分析中心則建議，應該要搭配數位證據的蒐集與封存演練、模擬遭駭後系統證據的蒐集、封存與初步分析過程等，作為提升金融機構資安人員面對駭客入侵的應變策略，以及如何具備基礎的數位鑑識能力和協調溝通能力。
所有的資安應變都會分「事前準備」以及「事後應變與鑑識」兩個階段，勤業眾信企業風險事業部經理陳威棋指出，事前準備階段，建立資安事件通報的SOP與制定資安應變暨化，並做好定期的防駭演練，讓企業員工把資安應變的作法內化成工作流程的一部分甚至是植入員工的DNA中，才能真正做到妥善的資安應變。
陳威棋表示，「建立應變組織」、「規畫事件應變處理流程」和「規畫定期資安事件與駭客攻防演練流程」是事前硬變得三大重點，有明確的資安權責單位後，一旦爆發資安事件，相關的人員才能依照權責做相關處理與決策。
至於事後資安應變與鑑識分析，陳威棋表示，這時候可能會面臨訴訟階段，所以，相關的數位證據保存都必須要做到可以確保相關的證據能力。他指出，這時候，企業必須要具備規畫過的數位鑑識機制，包括：企業內部要有自己的資安應變與數位鑑識團隊；所有資安事件的處理都依據「資安處理與數位鑑識作業程序」辦理；最後，數位證據都必須在一個可以被信任的資安事件分析環境中進行，如果前者成本過高，也可以採用一些免費的資安事件與鑑識分析工具做備用。