CEO不可不知的資安風險管理

不久前全球知名的網路交易平台ebay遭受駭客(Hacker)攻擊，傳出造成1.45億筆會員個人資料及密碼外洩事故，隨著網路平台的成熟，電子商務、社群媒體的興盛，每每耳聞類似的資安事件，且傳出災情的不乏國際知名企業，如全美第三大零售商達吉特(Target)近億筆個資遭駭、全球軟體大廠Adobe近3800萬筆會員資料遭駭、南韓銀行發生1億筆信用卡個資外洩事件、日本SONY遭駭客入侵盜取用戶個資逾億筆，台灣在幾年前曾頻傳電視、網路購物後資料外洩而造成民眾受詐騙案件，也曾發生某手機大廠因網站管理不當而使上百萬會員資料遭竊，這些重大事故動輒影響上億人的權益，而且更影響企業長久來辛苦建立之聲譽。

從勤業眾信的觀點來看，企業應從風險管理觀點採取適當之解決方案，以保護組織的重要營運資訊。換言之，企業管理階層必須清楚的知道組織內哪些資料、哪些資訊系統跟企業的營收關聯性最大，對企業哪些重要業務流程影響最深等，進而釐清前述營收與業務流程遭受攻擊之可能性，對企業內部進行整體的資訊安全風險評估，瞭解可能的弱點，然後根據相關風險的高低，考量投入成本以及現有資訊科技防護能力，整體考量並規劃資訊安全解決方案的需求，以在有限成本下，有效益地掌握受駭之風險。此外，當企業採購相關資訊安全產品時，應將考量資安產品的使用人員與權責、使用時機、相關報表的可讀性、以及異常報告後的反應措施為何，將制度與工具的使用整合為一，才能使資安解決方案真正地融入企業的日常運作中，如此才能發揮工具的最大效用。

在完成上述準備後，企業就不會發生資安事件了嗎？世上是沒有百分之一百的安全；因此，企業應建立資訊安全的應變計畫，使人員知道事件發生時應如何進行初步判定與處理，通報適當主管與人員進行損害控制，有效與客戶或大眾溝通避免企業形象的受損，甚至通知數位鑑識團隊進駐協助調查，並在事件調查至一定程度後，請教相關律師可能的訴訟議題，並擬定訴訟策略。如此，從事前預防、事中應變、事後處理等角度，以風險管理的思維完整規劃適合組織的作法，才能使企業在現今充滿威脅的大環境下，仍能穩健地營運下去。

勿恃敵之不來，恃吾有以待之！