資安不只防駭客、還要創造價值！中小企業資訊安全，從資料治理做起

這個場景發生在9月商周CEO學院〈數位領導力〉課程。兩位學員分享自己親身遇到的資安威脅：

學員A ／中小企業CEO
我們員工看到mail，以為是供應商要求，沒有透過電話查證，就直接匯款出去。剛剛發生的時候，我們都很納悶，我們有嚴格的財務線上流程呀，簽呈與付款的每個關卡，怎麼都看不出來？其實後來發現，駭客很可能已經長期潛入在公司資訊系統，連e-mail都改得很像是我們供應商的，觀察你知道你在做些什麼。我覺得，比起買什麼硬體或軟體防護，員工的意識才是最重要的。

學員B／中小企業二代
我們曾經遇過，郵件伺服器被駭客入侵，但因為這個伺服器是外部的廠商在代管的，我們遇駭時，問廠商發生什麼事，他們好像完全不知道我們是他們的客戶，查了半天也沒有回應，整個狀況外。最後處理完之後，雖然我們也換掉了這個廠商。但損失還是發生了。

安永企管諮詢公司副總經理陳志明擔任〈數位領導力〉客座，以「數據治理與資訊安全」為題，分享他的觀察。

他指出，與前兩年相比，上市櫃公司被法規要求設資安長、取得ISO 27001等認證，防護力較過往提升；中小企業不像上市櫃公司擁有龐大資源。但這並不意味，中小企業就做不了資安控管。

重點1：提升員工資安意識是對的 但光是上課不夠

當前，多數企業領導人看待資安，仍然覺得只要委託專業或技術人員就好，是資安或是技術部門要負責的，不覺得有必要提升到「治理」的層級。

也因此，台灣多數企業對資料管理還停在各個部門各管各的，不同系統之間交換資料困難；隨著企業加快數位化的腳步，機聯網、物聯網進入日常營運，資料快速累積，可被攻擊的接觸點增多，資訊安全風險可說比過去任何時候都更高。

這時如果企業有企圖心要善用數位科技，運用資料來創造商業價值，這時一定要討論到資料要怎麼管，資料運用如何與創新策略、變革管理配合，光靠技術人員是管不了的。

「資安是數據治理的底層結構， 底層結構上面有業務 、行銷、產品管理、專利管理，你要在維護資安前提之下，建立一套你對於數據治理的看法。這件事情並不容易。」陳志明指出，因此，資安管理不只是要防止駭客來偷，還要不外流、不損失、創造價值。

資訊安全的三大面向是：人員、技術及流程。如同學員A分享的，最容易著手的是員工，一定要提高員工意識。

不過，即使要求員工上課，如果沒有持續在日常營運中實踐安全行為，只會流於形式。

重點2：數據治理底層 資安防護要找出高風險弱點

「各位學員，你的公司裡有沒有人，既做管理職，又管財務，還能夠隨時拿到顧客資料？拿到研發資料？」「這個人如果拿著資料走了，你的公司會怎麼樣？」
陳志明問現場學員。

員工職離之後，帶著客戶名單與專利資料，跳到對手陣營，是常見的資安漏洞。

對應機敏資料外流，有制度的公司一種做法是，有意地造成資料的斷點，例如，直接將研發分為硬體與軟體不同團隊，限制不同部門員工只能看到一部分資料，再透過流程結合，完成產品研發；另一種做法則是請顧問公司來全面檢視資安脆弱點。例如，在去掉個人識別後，分析有沒有哪些員工是容易跳槽，或他的網路行為看起來是有比較大機會外流資料的。

「知道之後不是說，『這個人就是不能信任』，而是要看，脆弱點在哪裡？」他接著提醒學員，「有沒有那種，「一旦發生公司就沒辦法營運的？會倒閉的？」弱點一定要找出來。

重點3：外包廠商必須可以長期信任 不能成為資安弱點

中小企業還有一種情況是，因為資源有限，經常會將重要的伺服器、資料倉儲，還有資安維運交給外部廠商。

「但這個廠商是不是有值得長期合作？值得信任？」他指出，要辨別這點，很可能不是表面的評估就夠的。舉例來說，有一家資訊服務公司做某種特定交易APP，市占率高達9成，這個行業裡有九成企業都委託它來做。當然這家公司很可能是很好的，但從某個角度來說，一旦這家企業資安有漏洞了，這九成企業都同時曝險。

中小企業的資安脆弱點，可能是密碼太弱，可能是系統管理員沒有發現，員工在下班之後將VPN用在別的用途，也可能是外包的廠商，你的供應商資安能力太弱。甚至將重要的伺服務直接放在外網，沒有安全機制設計。

如何避免這些問題？陳志明建議，第一是要善用科技，因為靠著資料分析，其實是可以找出高曝險的脆弱點；第二，是要重視資料治理，將其融入日常的營運。而在進行管理時，除了企業內部人員，企業會接觸到的利害關係方，例如合作廠商、客戶、主管機關、會計師、律師等，也必須納入資安計畫，有相對應的管理程序，為資料使用建立規則。有了這樣的意識，資安管理才會上軌道。（全文完）

★更多精彩內容、現場問答、教授實戰經驗，歡迎報名商周CEO學院-CEO領導學程★