CSO：企業資訊安全的指標

| | | | | | 留下回應

    

趨勢科技於今年一月正式任命全球研發執行副總裁梁國屏為資訊安全長（Chief Security Officer）。在上任之後，梁國屏將直屬於趨勢科技全球資訊長（CIO），負責趨勢科技公司內部的資訊安全管理，並且過問、甚至參與該公司消費端與企業防毒產品的研發過程。

CSO有時又被稱為CISO（Chief Information Security Officer）。根據知名線上雜誌CSO Online對「CSO」職掌的說明，「CSO源自IT部門，負責公司一切資訊安全。…而隨著CSO功能的演進，CSO的工作內涵已擴及全公司的實體與數位安全狀態，帶領或參與公司永續營運規劃、防止資產損失、詐欺與隱私專案。」

趨勢科技CSO/CISO的成立，也反映了二、三年來歐美企業IT部門趨勢。

地位不明、安全可慮

傳統上，資訊安全都是由IT部門兼任，統一於IT經理或CIO之下，也沒有單獨的職稱。有人認為，CSO一職從IT部門旁生出來，這現象反映出，在IT環境日趨複雜，而網路威脅卻愈來愈多樣化而刁鑽的今天，資訊安全需要更多的注意。

梁國屏指出一般IT和資訊安全管理存在截然不同的差異性格：IT的工作在於確保企業營運的「效能」、「流程執行速度」，具體指標是網路有沒有斷線、主機有沒有當機、傳輸速率快不快，而CSO的工作目標則是「安全」，既不求快、也不以賺錢為主要評判基準。

公司對這兩種工作的期望也不一樣。「以績效結果論，IT要求要有結果，但資訊安全卻剛好相反，就像保險一樣，你花了錢，但不希望看到有明顯的後果，」他說。

資訊安全著重管理，因此經常引發與其他價值—也就是營利、使用者服務、便利等—的扞格。例如，監看MSN通訊紀錄，也會招致隱私權抗議。或是公司限制不可以上某些網頁或隨意安裝程式，可能具有資訊使用權疑慮。公司的密碼管理政策要求每個月更換密碼，會引發使用者抱怨。甚至CEO年紀大記不起來，也可能拒絕套用同樣規範。

CA技術顧問林宏嘉則指出，資訊安全與現行組織目標的不一致，導致它往往在重要時刻就會被犧牲。

他以自己做的過客戶專案為例。某家公司邀請可能會下訂單客戶到公司作產品測試與驗證，但客戶要求在不受限情況下於公司內部上網。這個要求違反公司現有資訊安全政策，此時，如果IT主管若限制客戶的申請，可能會得罪客戶而影響成交，但如果順應客戶需求，一則需額外建置安全防護機制與調度人力進行監控，一則就放任客戶的行為。

在本例中，IT主管選擇為了業績考量而放棄安全控管，「但是也讓企業門戶洞開，外人得以長驅直入，」他說。

軟體開發的安全議題

除了使用者管理問題，傳統IT部門缺乏資訊安全訓練，也導致企業另一個資訊安全隱憂。賽門鐵克亞洲區技術總監王岳忠指出，一般IT專案在乎的的功能需求是否滿足、有沒有超支、時程會不會延宕等等問題；安全並不包含於程式開發的訓練之中。「而在上線時程的壓力下，即網站或應用程式可能在沒有經過嚴格控管、良好測試下而上線。」他說。

另一個讓問題更複雜的是開發委外。林宏嘉補充，許多企業程式開發專案的外包驗收只以功能性（像是執行效能、有無做到要的期望的功能）為基礎。然而假設程式碼中有漏洞，或甚至被暗中植入木馬或後門程式，現今一般企業測試員大多不具備資訊安全知識，完全無法在驗收過程檢查出來。以目前外包主流的Web應用程式或網站為例，就是撰寫應用程式不夠嚴謹，讓駭客可以藉由資料庫SQL語法的漏洞進行SQL Injection攻擊，而這若未在外包時檢查出來，對公司不啻引狼入室。

CSO的精神在於透過專門（而非兼職）的人員確保資訊政策的落實，以避免「人治大於法治」之下資訊安全政策流於形式的弊病。一旦少了專人時時以資安角度進行來監看，如果IT使用、開發往往便宜行事，則遭駭客入侵、木馬程式與病毒百除不盡、DoS攻擊頻傳、發生客戶資料被竊等新聞屢見不鮮，也就不是令人意外的事。（續下頁）

  繼續閱讀： 制衡機制>>