資訊安全專業人員通常將IT的人為影響成分解釋為“人為錯誤”,被視為組織機構資訊安全中最薄弱的環節。在許多情況下,網路安全事件是由人為錯誤,惡意企圖或缺乏安全意識引起的。實際上,根據業界的一些研究,網路安全事故的主因為人為錯誤。因此,資訊安全業者正在加碼投資,注重於降低人為風險的技術和標準。這也是市場上提供像是行為監控,內部威脅檢測和資訊外洩防護系統的技術和服務,目標在降低由惡意或意外人為而構成的威脅。
但是,當資訊安全防護系統對人的不信任與工作干擾,面臨用戶的嫌惡與反彈。於是我們從人性相對的另一面來看,應該以保護終端用戶為中心出發。人為操作不單單只有要求遵守安全規則,限制業務運作的做法。人有感覺、擔憂和需求,除了避免影響業務運作之外,有效的安全策略還需要將人性心理因素考慮在內。
例如,實施了強制密碼強度的安全策略,卻忽略人類尋求便利的傾向。於是人們會找到一種應對該規則的方法。將密碼以純文字形式儲存記錄下來,將其保存在瀏覽器中;或者在其他未獲授權個人站台或端點電腦上,重複使用相同的密碼。而IT管理人員需要為他們提供有效率的選項,例如SSO或其他工具,以輕鬆管理他們的密碼。
我們再探討職場監控或使用者活動監視。許多組織使用這些服務來提高生產力,並減少內部威脅和資料洩漏可能。但如果輕忽對員工隱私權的保護,則將會冒著觸犯法律的風險;更不用說帶來文化上的衝突,信任的喪失以及許多其他人際關係衍生問題。這些問題若沒有適當對策,它所帶來的災難可能遠超過獲得的安全利益。換句話說,不僅要可以有效提供功能安全性,而且還要實現包容性的解決方案和策略。
隱私與道德倫理
由於GDPR這類法律規範實施,保護隱私已成為安全專業人員必要考量。一方面需要保護客戶的資料、知識產權和商業機密,避免受外部或內部威脅。資訊安全防護對公司利益雖然是一件好事,卻同時也是一個敏感的問題,可能會帶來道德上的疑慮。實際上情況是,在保護客戶資料時,動機的正當性很容易被混淆。
例如員工可能想知道,公司為什麼要實施特定的資訊安全措施或職場監視計劃。是否因為真的想提高工作效率?是否真的需要掃描電子郵件來實現這一目標?儘管公司目標是合乎道德的,但措施仍需要恰當。建立清楚的紅線規則和充分透明溝通,是避免此類道德陷阱的關鍵。
保留電腦易用性與資料可得性
即便是為了實踐資訊安全也不應損害資訊系統的可用性。隨著機器學習、人工智慧的發展,資安系統可以更聰明地平衡安全性和可用性。但是仍然需要花時間佈署及設定調整這些解決方案。此外,如果妨礙了工作流程而沒有提供替代解決方案,則安全防護專案的推動將受到阻礙。例如,資安政策禁止使用雲端硬碟,卻沒有搭配其他配套措施;則員工會尋求其他更不安全的方式,結果除了可能導致非預期的洩漏危險,還影響了正常的業務運作。
資安責任劃分
資訊安全不僅僅是專業管理人員的責任。為了有效推動資訊安全,高層的認可與決心佔了重要關鍵。如果我們僅依靠安全專業人員和技術,對於一個小組來說,這個問題的範圍就太大了。因此,除了專業安全管理人、資訊系統管理人、專業稽核、部門主管及每個員工,都應該分擔不同的角色與部分責任。
當用戶不當使用資訊系統時,我們很容易歸咎責任於用戶端;但是身為安全專業管體團隊,我們要能夠權衡安全與隱私保護,道德規範與獲利能力,可用性與易用性,責任授權與合規性之間的決策。依此制定以人為中心的安全策略,降低工作干擾,使用戶更易於使用,更信任,從而順利推動內部資訊安全。