早期企業控制流程的設計主要在書面文件的傳遞與人員組織文化的管理。約略在20、30年前,電腦設備開始陸續被企業組織使用,這時多用於文書處理、ERP系統使用、資料儲存…等,同時也發展了部分資訊相關管理的控制作業。
然而,在資訊科技快速創新發展的時代,各個公司組織已於營運過程廣泛地運用新興科技技術來協助內外部作業流程運作、大量且快速的資料交換與儲存管理,早已讓企業資訊安全管理升級至另一個層次,而來自公司組織內部的威脅已是目前主流的資安議題之一。
根據Ponemon Institute 於2018年4月發布的研究報告-「2018 Cost of Insider Threats: Global」,將內部威脅定義成三類:「(1)粗心或疏忽的員工或承包商( A careless or negligent employee or contractor )、(2)犯罪或惡意的內部成員( A criminal or malicious insider )、(3)憑證竊盜( A credential thief )」,統計其中前兩者產生的資安事件分別為64%及23%;也就是說來自於組織內部相關人員粗心疏忽及惡意的行為佔了此類事件的87%。然而根據歷年的統計數據,這類相關的風險多年來雖早已為人所知,但是上述所有類型來自內部威脅風險的發生頻率卻仍在持續增加。
參酌上述的統計資料,平均每個資安事件的處理時間大約需要2個多月,很難想像絕大多數內部成員無惡意的行為竟然會讓公司組織浪費了大量的時間,也承受了金額的損失,這在企業組織的管理控制確實是一個值得探討的議題。
然而,從營運管理面來看,公司組織進行管理控制是為了管理風險及增加達成既定目的及目標的可能性,因此當公司組織於營運過程辨識出資安風險過高,進而開始控管資安風險,資安控制制度這樣的演進過程,實際上與其他控管作業流程的設計理念是一致的,也正是因為如此的管控過程,當公司組織的高階管理階層做出正確的決策,正常地運用管理控制的方法,讓公司組織能維持正常運作,所有在此效力的內部人員也才能安穩地在此貢獻自己所長,取得生活所需的報酬;不過,當風險管控失當時,公司組織因為某些有意或是無意的行為而產生重大損失,所有相關的內部人員都必將受到影響。
另外,從控制環境的管理來看,公司組織本應就其風險能力所及範圍,創造較低風險的工作環境,讓內部人員無法於所接觸的營運流程之中,很容易地能對公司組織造成重大傷害(無論是有意或是無意的行為)。也就是說,低風險的控制環境應能減少內部人員犯錯或是犯罪的機會,進而也增加目標達成的可能性。
從上述觀點看來,有效地管理內部資安,無論是對員工或是對公司都應該是雙贏的局面,然而在實務上,為何在內部推行資安管理時仍會有不少雜音。筆者簡單歸納出以下幾個主要原因如下:「改變使用者習慣、影響工作效率、信任度不足」;其中「信任度不足」應為導入資安相關管控系統最主要的阻力,導因於大量資訊科技產品已被人們廣泛地使用在生活之中,因此工作過程亦難免會在無意間夾雜了生活的資訊,而功能強大的資安管理系統工具,除了能做到限制資訊可能外洩端點的使用控管之外,亦能記錄大量的軌跡資訊協助公司組織分析管理可能的風險。但是基於人性皆具有一定程度的好奇心,資訊被蒐集者皆會擔心其個人資訊可被他人輕易取得、濫用、甚至散布,因此導入此類系統的公司組織若未能於導入初期即建立有效地資訊使用管理規則,並公告周知加以宣導,相關不安的情緒即有可能快速蔓延,成為導入資安管控系統的負面因子。
另外,在法律層面上,中央主管機關已頒定個人資料保護法、通訊保障及監察法…等法令規定,公司組織於導入資安管控系統時,若能參酌國內相關法令、國際資安管理制度之控制重點及精神,建立相關管理制度,強化全體同仁的資安意識,有效保護已蒐集的軌跡記錄,應能有效降低內部的相關疑慮,讓管理內部資安能真正有效地保護公司及內部人員,達到雙贏的局面。