[觀點] 從境管當機事件談資安風險管理(下)

上一次我們談到了風險管理的基本概念和過程，藉由識別資產的價值，並進行可能存在的威脅與弱點分析，以便計算出所面臨的風險值。在了解企業現有的資安風險之後，接下來將說明應對風險的處理方法。

在生活之中，每個人遇到意外的發生，都會有不同的應對方法。舉例來說，如果你的錢包掉了，除了現金沒了之外，錢包內的信用卡、身份證件也跟著一併遺失，這時候你會怎麼辦？相信大多數人的做法是，趕快打電話給銀行，先暫停信用卡的使用，然後登報將身份證件聲明作廢，重新到相關單位申請新的證件。那麼損失的現金呢？我想大概就只能摸摸鼻子，當作破財消災了。

不過，錢包就只會掉這一次嗎？如果萬一下次又掉了，或是被小偷扒走，那麼就只能再重頭來過，又心痛一次嗎？面對這種會造成財物損失的風險，難道沒有比較好的應對方法？事實上辦法是有的，而且還有很多種，端看你如何選擇。

像是有人會在錢包裡不放證件，或是不帶現金，只放一張額度最低的信用卡或提款卡；有人甚至出門不帶皮夾，而把現金放在口袋，證件放在另一邊，來避免雞蛋放在同一籠子裡的風險；還有比較極端的是，有人乾脆身上就不帶錢包了，反正和親友出去，若需花費，則請他人先代為付帳，日後再還即可。

風險處理的原則

以上提到的種種作法，其實目的只有一個，就是去「降低你不想要的事件發生的可能性，以及萬一它真的不幸發生了，如何將可能造成的損失減至最低」，而這也就是風險處理的基本原則。所以在生活之中，我們可能會直接選擇自己簡單易用，或是自認為有效的方法，不過，若是回歸到企業要處理資安的風險，還有幾項重點是必須要去考量的。

首先要考量的就是，採用這些風險處理的方法，必須要評估所耗費的成本是否合理，並且能夠讓企業老闆接受。記得某位資安的前輩曾叮嚀：「千萬不要花五塊錢，去保護只有三塊錢價值的東西，這往往只會吃力不討好。」

所以，若是為了防護某項價值並不高的資訊，而大肆添購眾多資安設備，要求做到高可用性，甚至於還做了異地備援，這樣的用心，恐怕只會被當成濫用企業資源而已，想必是一點功勞都沒有。

再來，請考量風險處理的作法是否會引起其他更大的風險。例如，企業為防止員工設定太過簡單的懶人密碼，使得駭客能夠輕易破解而竊取企業資訊，所以要求員工必須每個月更改一次密碼，長度必須英文數字大小寫混合十二碼以上，並且前十次不能相同。

上述這種作法，雖然可大幅提升密碼被破解的困難度，但相對的也會造成員工不容易去記憶密碼的困擾，而且如此一來，員工就很可能會將每次變更後的密碼寫下，甚至於可能直接就以便利貼貼在螢幕或鍵盤旁邊，這樣反而讓經過座位的所有人都可看到密碼，造成更大的風險。

所以，企業在要求做好資訊安全的同時，也務必去思考可能因為人性所產生的問題，千萬別忘了資安工作，其實大多時候都是在處理「人」的工作。

最後，應適時地評估風險處理作法的有效性。所謂有效性的評估，對管理人員來說是有難度的，因此，建議可採取適當的稽核方法，以確認相關人員是否依照企業制定的政策、流程、作業標準來執行工作，並且在稽核的過程中，以相關記錄的抽查並配合口頭的詢問，來確認工作人員是否達到「說、寫、做」一致。

以防火牆稽核而言，可以檢視其防火牆政策設置是否適當、政策的變更是否經過授權、如何進行政策變更、變更之後是否留下記錄等等；另外，也可詢問防火牆管理人員，是否定期審查設備所產生的Log檔，以及發生異常事件時，要如何進行處理與通報。至於稽核的執行，可由內部的稽核人員，或是委由外部的資安專家來進行，建議每季或每半年執行一次，並且召開管理審查會議，以檢討是否有缺失，以及如何進行維護與改進。

風險處理的方法

至於風險處理的過程，基本上可分為避免風險、降低風險、轉移風險和接受風險四個方向來進行，以下為各項方法的簡要說明。

避免風險
在資訊安全的範圍裡，想要完全避免所有風險是很困難的。以境管局提供的服務為例，它必須要透過資訊系統和網路連線來進行，因此，資訊系統本身即有其作業上的風險，像是硬體設備損壞、人員操作失誤、軟體臭蟲等等，而網路連線亦存在包括網路連線中斷、駭客入侵攻擊等風險，所以若想要完全避免風險，除非捨棄資訊系統與網路的使用，但如此一來，恐怕就只能以人工來處理，但可別忘了，人工處理除了沒有效率之外，同樣也有其作業風險。

降低風險
正因為風險很難完全加以避免，所以管理人員通常可運用的就是降低風險的作法，也就是選擇適當的資安控制措施。例如企業擔心病毒入侵，所以會在電腦中安裝防毒軟體，這是一種降低病毒爆發風險的控制措施；境管局擔心系統會因硬體損壞而失效，所以建置了備援系統，希望在系統失效時，能接替原系統來執行工作，這也是一種降低風險的控制措施。只是這些控制措施是否合宜，能否有效降低所面臨的風險，必須參考剛才已提過的風險處理原則。

轉移風險
有一些風險，像是地震、火災和水災，它發生的機會可能不多，但是一旦發生時卻會造成嚴重的傷害，雖然平常也可採取降低風險的作法，但是往往花費很高，效果也不顯著，這時候，建議最好的處理方法就是轉移風險。舉例來說，企業若將最重要的營運資訊，放置在公司內部的機房，雖然機房已針對地震、火災和水災，作了適當的規劃防護，但是依然難防大樓遭到火災的侵襲，因此，若能再加保火險，即可補償災害發生時造成的損失。另外，若資料可委外備份到專業的資料中心，藉由資料中心提供更完善的防護，來確保資訊存放的安全，這也是轉移風險的另一種應對之道。

接受風險
如果有些風險所造成的損失不大，對企業營運的影響也很低，那麼與其花費金錢購置資安設備來加以防護，不如選擇接受風險，其實也是可以採行的辦法。當然，每個企業對於風險的接受度不同，這就有賴於先前是否做好風險的分析與評估，在事先計算出各項資產的風險值，即可依據各項風險等級來判斷是否為可接受的風險。在此還要提醒大家，接受風險不代表就不必去管它了，可別忽略了風險的高低，有可能隨著外在環境或人為因素而變動，因此仍要定期的審查，尤其是針對資產價值較高，造成企業衝擊較大的項目。

總結

以上針對資安風險管理，僅以簡單淺顯的例子來予以介紹，希望透過識別資產、風險分析、風險評估與風險處理的過程，以達到管理風險的目的。事實上，風險管理在各個產業都有很多不同的應用，若是針對資訊安全與IT系統，建議你可以進一步參考由美國國家標準和技術研究院(NIST)所發布的「SP800-30 Risk Management Guide for Information Technology Systems」，或是最新發布的「ISO/IEC 27005:2008資訊安全風險管理」國際標準，對於風險管理在IT的應用都有很深的著墨，建議你不妨有空仔細研讀。

最後，個人還想藉此強調一個觀念，就是資訊安全絕不只是架構防火牆、安裝防毒軟體，或是以技術對抗駭客入侵而已，其實它更像是一個全面的管理過程，在這個過程之中，將會牽涉到企業流程、組織管理、作業程序等等，所以資訊安全不會只是一個人或一群人的工作，而是企業由上到下都必須有共同的認知來確切執行，這樣才能確保企業不會因發生資訊安全事件，而導致營運中斷或聲譽受損，才有實現企業永續經營的一天。(本文刊載於2009年3月號網管人雜誌)