抵抗變革是一種自然的反應
改變是不舒服的,需要新的思考和行動方式。人們很難在變革的形成之前,預知未來面對的實際狀況。因此,易於傾向於堅持已知而不是擁抱未知。當IT 或 資安團隊推行資訊安全制度、資訊安全系統,多少會遇上來自各部門的阻礙。相較於人的問題,技術細節與施作程序反而是最容易克服的問題。
資安系統本身特性
資安系統有很多種,並非每一種都會被使用者所抵制。例如防火牆,防毒防駭軟體。對使用者而言,這類資安軟體是有幫助的,有好處的。動機、及目的都相符,一般而言並不會有太大問題。但諸如資訊防外洩DLP 、DRM資安系統,可能就會產生較大推行障礙。這類的資安系統在使用者工作上,造成一定的影響 :
- 工作習慣被改變,不方便、影響效率
系統導入的成敗關鍵因素之一。每個人都有自己的工作習慣,而且是長年的工作訓練及經驗所養成。一旦這個流程被改變,或者造成不方便,干擾流暢度,那麼一定會反彈。資安不能不顧業務營運,必須將衝擊降低至可接受程度。 - 被冒犯的感覺,道德上的正當性受質疑
DLP 系統主要功能包含了 監視、控制、記錄。使用者在PC 上的操作行為、程式執行、網站瀏覽、檔案操作、裝置連接等,均受到一定程度監控。這樣的內容對使用者來說,心理上會感覺到被冒犯,被窺探。公司部署資安系統的正當性,就會遭受質疑。再加上GDPR 通過實施,員工個人會更介意這樣的系統所收集的內容。如果狀況允許,推動前讓每個員工都有機會討論、提供反饋。管理階層公開資安管理策略與目標,使所有人明白政策目的,以降低疑慮。 - 權責角色規劃不當
過往推動資安事務的權責單位通常是IT 部門或管理部全包,欠缺專門的角色設計。資訊安全制度推動,並非單單是IT導入系統而已;其他相關管理措施、管理角色的設定,也應一併考量。如IT負責系統維運,管理部或資安部負責政策制定及檢討,稽核部門則稽核記錄內容等。以實務上來看,推動了資安系統,部分的資料也會被保存在IT 的系統上;財務、人事等部門也不會同意這些資料被不相干的人員存取。又如 IM 內容記錄,是哪一種角色可以檢閱?X-FORT 在這方面,將管理角色與範圍,稽核機制的要求都考量進去。例如某位管理員可以協助稽核調閱記錄,但是實體檔案內容是被加密保護的,必須有稽核的密碼才能解開。
監控還是保護 ?
為了保護公司利益,及各營運生產成果等內容,監控環境內所有設備及系統,確有其必要性。然而就保留事證這件事而言,對雇主、受雇人都是保障。以往電子活動記錄並不好舉證,即便有了記錄,也不一定有效度。自原生系統(如OS)所產生的記錄,多偏向系統活動,難以證明使用者行為的關連。DLP 及 電子資料監控系統正好強化了這方面的不足,也許精確的使用者記錄,正好可證明你的清白?某種程度而言,系統強制的資安政策,也可以防範使用者無心之過,造成外洩。也算是一種保護措施。
資安系統只是達成資安治理的管理工具之一,大部分還是著重在人的管理上。如果能讓大家覺得利益目標一致,當然是最佳;大部分的現實是,只能協調出大家可接受的範圍,不受到任何阻力或反彈,幾乎不太可能。