文/林呈欣
很多公司蒙著眼睛做公司治理,沒有找到適合公司的風險治理的政策。如果公司治理的政策沒有擬定好,這樣公司內各式各樣的人,如何能夠知道如何避免公司治理上的風險呢?基於公司的屬性,找出每家公司獨特的盲點(Blind Spot)。
基於風險訂定策略、政策、程序與紓解措施
我們都知道,真正的資訊安全與治理,不只是公司 IT 人員了解所有資安的技術細節,更重要的是要做好公司治理。同樣的,公司治理不是靠 IT 人員做到公司資安而已,讓公司每個董監事、高階主管、管理人員,都要知道在公司治理上該扮演的角色,來訂定治理的策略與政策,這該是公司高層全員的工作。公司治理的政策擬定好之後,來制定一個完善的解決方案,就可以讓所有人員可以根據公司的公司治理政策,來做好公司治理。
No Visibility,No Management
管理上最重要的事情,就是要能夠看得到。如果公司在公司治理上沒有完整的資料,其實是沒有辦法進行管理。
在此看重的是公司在公司治理上的總能見度(Total Visibility),這是所有管理上的基礎,這落實在所有數據(像是可以看到所有設備、網路、生產產線的重要數據)是否健康?以及可以來確保所有數據的成熟度(Maturity)。成熟度就是公司治理能夠有多大的能力,可以透過掌握總能見度來做到管理。
【 推薦文章:生成式 AI 調查:網路安全專家的機遇與挑戰 】
需要了解威脅目前如何傷害公司的珍寶,以及何時造成損害?預計造成的損害有多大?公司治理都需要有總能見度,公司透過掌握總能見度來做到自動化管理。公司治理上需要在愈早就要能發現。
每個產業都會制訂出該產業的規範,規範會針對該產業該考量到的特殊程序、特殊設備、特殊人員、特殊環境等來掌握到總能見度,與判斷公司治理現況是否健康,並且以此進行規範到該公司該有的公司治理的成熟度,才能夠讓公司治理能夠健康,讓公司治理值得信任。
以下來說明總分析架構的每一項:
1.威脅與風險(基於具信任公司治理的監控)
要能夠了解公司面臨的環境是否有威脅?以及了解此威脅從何而來?公司治理上是否有弱點?
了解這些威脅是否將碰觸到珍寶而有致命之處,以及這些致命之處到底有那些可能的情境。公司治理上,需要先知道公司面對的威脅,公司可以看得到這些威脅是在那裏,才能夠讓公司知道到底公司治理上面對的風險是什麼。
公司治理上對於防範威脅的程序,要事先訂定出來,並且能夠持續透過監管程序來防範威脅。也就是思考以下三個關鍵問題:(1)在威脅真正威脅到公司治理以前多久,公司就該要做哪些措施來進行防範;(2)當這些威脅開始發揮作用時,公司能夠做什麼事;以及(3)當威脅已經坐實,公司可以做什麼事。這些的前兩種監管程序,常常是公司治理上容易忽略的。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
政策(Policy)就是面對每一種的威脅的防範程序,這些都是一個機制,要確認是否都能夠不漏接防範威脅的發生。並根據政策(Policy)來推動監控,才能夠知道可以達到多高的信任。也需要時時針對威脅造成的損害進行評估(Assessment),以及面對這些威脅,公司擬定的防護策略為何?
2.珍寶
每家公司/每個產業的珍寶都不同。各種行業的風險治理上,對於保護珍寶的需求都很不相同,像是製造業最重要的就是保護好產線資料與供應鏈資料;金融業要合規與保護好公司保管的客戶資料。每家公司/每個產業的珍寶,就是在做公司治理上,管理與保護的對象。
【 推薦文章:回顧敏捷式一路走來的開發歷程 】
公司要能夠掌握在公司治理上,珍寶是什麼?就是去試想「萬一這些珍寶損害時,公司將會面臨怎麼樣的慘狀?」,這就是公司的痛點(Pain Point)。
公司就該將公司治理的投資,投資在痛點上,以及能夠具體保護珍寶上。
3.損害
當各種威脅傷害到珍寶時,將會造成公司治理上那些的損害?這些損害到底最壞的情況下有多少?深刻評估損害後得知,相對於公司對於公司治理的投資,這些損害造成時將遠大於投資。
公司治理上,公司所屬類型
在擬定策略以前,需要先知道公司在公司治理上,到底是屬於那一類型的公司:(1)先知先覺、(2)後知後覺;(3)不知不覺。
「不知不覺」類型的公司,就是大部分公司都覺得只要還沒有發生「損害」以前,都不需要去做任何公司治理上的投資與行動,即使很可能威脅已經潛伏在公司內部六個月都還不知道。「後知後覺」類型的公司,就是當威脅已經兵臨城下,快要碰到公司最珍貴的珍寶以前,公司始察覺到。最好的「先知先覺」類型的公司,就是當威脅已經在敲門時,即使此時威脅還沒碰到公司最珍貴的珍寶以前,就已經產生警惕來面對。
[ 延伸閱讀:安全性能指標對資安長的 10 個好處 ]
公司常常是錙銖必較,常受限於「公司經費資源有限」,想要取得更高的能見度,到底該投資在那裏呢?這就是要來區別公司屬於那一種狀態類型而有所不同。
公司還是需要針對「珍寶」來進行防止威脅的投資。不同類型的公司,做出來的選擇有很大的不同。公司治理要先設想到威脅背後的動機,才能夠致勝於防範威脅的行動與行為。這都需要靠持續的監控來取得更完整的「總可見度」,並且來完整綜合分析「動機」與「行為」的各種監控所得到各種威脅的數據,公司才能夠做到有效的防護。值得一提的,威脅常常是推陳出新,所以公司不要以為過去已經足夠了解威脅,就常常容易忽略不斷翻新的新型態、新技術產生的威脅。
結論
公司治理,最重要的取得全面能見度與保存證據、即時回應。重要的幾個結論說明如下:
[ 推薦閱讀:林呈欣專欄所有文章 ]
- 具信任公司治理:建構具信任公司治理體系,針對珍寶進行保護,並與企業營運目標一致。
- 能見度與證據:具備全面能見度,要全面自動化與即時地監控與保全證據數據,才是公司治理的基礎建設。保有保全證據與至少六個月的 Log 數據,能夠進行精準分析,日後才能夠進行訴訟。
- 即時回應:在有總能見度之下,自動化即時回應威脅、內賊與違規事項。透過總能見度的掌握,能夠從數據當中看到公司治理上的異常情況,包括從威脅的動機與行為上,來防範異常情況。更重要的,公司不只有防範外來的威脅,更重要的防範內賊的威脅。如果公司治理上有監控能力與警示能力,公司就可以讓內賊造成的威脅,在半途就被抓到。所以積極防範的公司治理,更容易即時回應。如果在公司治理也能夠收集到來自外面的情資,還要有能力快速過濾找出重要而且公司最需要的情資。
- 供應鏈管理:公司治理當中,最弱的常常是供應鏈。在數量龐大的供應鏈廠商中,要分級分類來管理供應鏈威脅,管理外部供應鏈到公司來存取重要資料。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
