企業的資訊安全指導方針 — 責任

身為組織的高層，我們的責任是甚麼?唯有深知你的業務活動的本質及伴隨而來的資安風險，才是稱職的資安領導者。企業高層的責任是:

1. 辨別組織的整個業務流程之中所伴隨而來的資安風險，且能夠了解輕重緩急(進行資安風險管理)。
2. 將資安的各項工作無縫的整合(而不是額外的分心作業)到組織的業務流程中(進行組織的資安強化)。
3. 能夠針對各類資安危機事件做好"管理與回應"(進行危機領導)。

資安風險管理

能夠清楚的”辨認/理解/管理/監控”組織的核心業務流程所帶來的資安風險是甚麼。哪麼怎麼知道我們自己是不是夠了解呢?我們需要問自己以下幾個問題:

1. 我們面對那些資安風險事件?
2. 這些資安風險事件如果發生公司的業務衝擊是甚麼?
3. 公司的高階管理人員能夠清楚的對這些資安風險分出優先順序嗎?
4. 公司的資安的投資與採購是不是用對在這些已經分辨出來的資安風險上呢?
5. 我們的資安防禦是有效的嗎?如何量化它呢?

三個資安風險的基本要素:

為了回答以上問題，我們需要知道:

1. 甚麼是資安風險
   就是我們在進行組織的業務活動時，在完成整個業務活動中的一連串行動中，這些行動有沒有可能會引發資安攻擊?
2. 資安控管的作用
   所有的資安管控都應該以業務面的活動來管控，而非從技術角度來管控。
3. 最有效的資安管控因子
   不是從技術角度來決定管控是否有效。而是從業務層面來決定。

編寫一個對公司有資安威脅的故事

定義了組織的業務活動所帶來的資安威脅之後，組織的全體人員需要一個基本資訊繼而帶出資安意識。我們需要一個”故事”而非公司不斷的發公告來對員工宣導相關的資安事件。由這個故事才能讓全體人員有著共同的資安共識與方向。

如何發展

為了將這個故事說的完整我們需要將每個部門去分析四件事:

1. 日常運作
   部門的每個同仁的職位都負責甚麼樣的工作,例如櫃檯收銀員，客服人員等。
2. IT系統
   甚麼樣的IT系統/服務是他們每天都會用到不可或缺的，沒有的話業務活動會停止的。
3. 資訊安全
   資安專家從資安技術角度怎麼看待這些系統的攻擊與防禦
4. 各類專業人員
   法務，人資，公關，總務單位又怎麼看待這些系統。

收集到這些資訊之後，我們會有以下四個元素開始描述著屬於自己公司的資安故事。

說故事的四原素

重要的業務活動與風險:

簡單來說，公司是靠那些業務活動在賺錢?附屬風險會是甚麼?沒做好公司形象可能會受損嗎?

我們不需要把每一個可能的風險都列入，因為風險永遠不可能是零。只需要辨認最大的。風險 vs 公司的營利與形象，進而訂出哪些風險需要被修正那些不需要。

這一部分董事會成員及C-suite的責任是需要去辨別進而管理。

支援系統：

使用者，IT人員，資安團隊需要對這一套系統都有了解。怎麼樣才是正常，怎樣又算不正常需要被定義出來。並組成緊急應變小組在有資安事件發生時能夠應對。

這一部分董事會成員及C-Suite的責任是需要知道這些重要業務的IT系統或服務的最新資產清單以掌握狀況。

資安攻擊與後果 — (攻擊所需要的條件):

資安團隊及使用者團隊需要找出這一套系統可能的弱點並表列出來，不只要有IT系統面上的，並要包含人員或流程上的缺陷。

若有攻擊或缺陷發生，受到的衝擊會有多大?

若真的要攻擊要成功，駭客需要有甚麼樣的知識，設備工具(軟硬體)，與發起攻擊的可能位置(所在地，內部?外部?)

資安攻擊與後果 :

善用 what if(假如)發生甚麼我們們會造成的損失有多少?

集合各部門專業人員(例如，法務 財務 稽核等)討論這些what if的的劇本，從這些專業人員的見解中可能還有其他的風險是我們不知道的。有效的討論是能讓我們進行有效的下一步行動。

這一部分董事會成員及C-level的責任是知道造成的影響有多大後就可以進行量化，對公司內外部進行各種狀況發生時的危機處理。

辯識可能的攻擊來源:

辨別來源與動機，這些來源的攻擊能力。甚麼樣的方式可以阻擋讓攻擊來源失去攻擊的能力與動機並且業務能夠順暢進行?有沒有可能漏掉可能的攻擊來源與方式?例如WannaCry這種無差別攻擊。

以上這些也都是董事會成員及C-Suite的責任。

案例:澳洲-布里斯本-馬蘆奇郡

水力供應系統：

供應全郡的水力，一共有142幫浦站總長有880公里的管路

由中央控制系統控制這些站點

每個站點也可以由設備連接獨立控制

維持這套系統的正常是這間水力公司最重要的業務活動

狀況:
200年一月

陸續發生了一些奇怪的狀況，有時有些站點失去連線，有時發出假警報。一周調查後終於確認是駭客所為，但太遲，汙水已經回流到正常的供水管線造成了一些大型活動遊樂中心的損失。

最後在4/23 結束，因為警察在一個幫浦站附近抓到駭客(幫浦廠商的前員工)，車上找到了所需要的連線設備。而這一個事件讓該公司必須賠償所有的用戶損失費用。

這個是事件的發生是因為幫浦廠商的前員工與幫浦廠商發生的一些糾紛而致。前員工運用了前任公司的知識與資訊成功駭入該系統。但該系統本身的設計也有其缺陷才讓前員工得手。

從上面的案例我們可以搭配說故事的四元素我們可以得出下面的表格

澳洲-布里斯本-馬蘆奇郡的故事

這個故事加上表格可以讓我們知道補足這個缺陷可以使用加密的網路連線方式與強化的帳密驗證方式。而一般的防毒軟體或反釣魚方案在此都無法派上用場。

以上這個範例告訴我們；唯有從公司整體業務活動才有辦法發現我們所面對的資安風險與缺陷是甚麼。

組織的資安強化

在帶領我們的組織在完全理解的業務風險脈絡下管理資安風險之後，我們現在需要確保它已準備好能"持續"應對資安風險。 這需要有一個能經過深思熟慮的組織結構和流程，並有一個開放心態和溝通的組織文化所支持。

組織應定期向我們(也就是董事會成員或C-Suite)簡介其當前的資安風險狀況，因為它與特定的業務活動有關。 這裡會介紹確定組織當前狀況的兩步流程。 基於測試控制效能(control performance)和資安風險緩解計劃的進展程度。

發展有制度的資安風險監管

為履行與持續資安風險管理相關的職責，董事會成員必須確保監管的組織：

1. 知道在哪裡尋找和尋找什麼來識別可能發生新的資安風險的變化
2. 發展具有明確定義的檢查點和分配的職責的流程，以識別新的資安風險並持續制定緩解計劃

現代科學的進步讓我們人類得以很精準的預測天氣變化。然而對網路攻擊的可靠預測已被證明是難以捉摸的。 在其他資安學科中，情資威脅負責來預期或即將發生的攻擊。 情資威脅的重點是偵測駭客及其意圖和能力，這與政府情資活動非常相似。 然而，許多公司收集的情資威脅很少建議採取具體行動，例如對網路防禦進行具體的變更以抵禦迫在眉睫的資安攻擊。 情資威脅是一項真正具有挑戰性的工作，威脅來源、暗網、社交媒體、政府和情資共享社群，所有這些資料都需要過濾和解釋。

儘管許多情資威脅源自互聯網深處，而且情資威脅的產出有限，但企業仍有預測和行動的能力。 資安風險預測的未來已經來臨。 我們只需要改變視角才能看到它。

如果我們從技術的角度來看，一個企業的IT系統每天都在變化不管是在資料中心或使用者的電腦，新軟體的安裝/舊軟體的移除/設定的變動，這些每天可能有成千上萬的動作在產生。而分析與追蹤這些技術變化代價可能很高昂，甚至不可行。而這些純技術過程是沒有用的，因為在沒有資安威脅敘述提供的業務脈絡的情況下，只能進行最基本的資安分析。

我們需要記住，我們組織自身的行為會產生新的資安風險，這將有助於董事會與C-Suite在組織內的業務活動、組織結構或業務生態系統發生變化時更加警惕。 在我們計劃具體的行動之前，任何關於資安風險的討論都是假設性的，但我們和其他董事會成員應該多了解廣泛的資安風險對業務活動的影響，例如建立合資企業，或技術，例如雲端運算。 這只是意味著當我們的組織準備好做某事時，而我們的監管就開始了。 我們無需嘗試預測未來，因為用水晶球預言的人注定要吃碎玻璃。

而從監管的角度來看，董事會成員的工作應該是確保我們的組織:

1. 得知當業務有變動時，那些有可能的資安威脅會產生
2. 對這些變化進行資安審查，以確定適當的資安風險緩解措施

了解組織現行的風險態勢

董事會成員要履行自身的資安責任就必須確保組織的風險態勢是不是在控制範圍內，為此我們需要:

• 定期測試我們資安風險控制的有效性
• 持續追蹤資安風險緩解計劃的進展情況

定期測試是為了瞭解"殘餘"風險是不是還在組織的可接受範圍內。另外我們也需要"定期測試控制措施在減輕我們所選擇的控制措施的資安風險方面的績效"。而這些作業則會讓我們產出以下的報告:

• 資安風險緩解計畫的"狀態"
• 針對組織重要業務活動的"現行"資安風險態勢

持續優化計畫的有效性

為了做到計畫的持續有效性，我們應該確保組織能:

• 在確定資安團隊在組織架構圖上的位置時需考慮整體組織的動態、利益和獎勵等行為文化。
• 提倡開放的文化，鼓勵共享資安資訊和提高與資安風險相關的擔憂

所謂的資安團隊是由資安長(CISO)為領導者的團隊，而CISO的主要任務是促進組織的"資安策略與防禦能力"。而CIO與CISO在組織內的目標與目的是非常不同的，所以這也是在組織架構上需要考量的。董事會成員考量CIO與CISO究竟是同一個位階還是CISO在CIO之下，因為這兩者的主要目標有著非常大的不同，很可能產生利益衝突。

而從董事會監管的角度來看，我們的責任應該是:

• 考量資安團隊與公司其他部門的整合、不受干擾以及能與董事會有效溝通，而這樣資安團隊能在組織架構中的位置是具合理性的

董事會必須創造一個開放透明的文化，董事會與C-Suite在資安風險上是具問責制，而非對一般基層員工採責備制(找個替罪羔羊了事)。這麼做永遠都會有資安大事發生。組織的所有高階主管看是要抱持"萬方有罪，罪在朕躬"或是"朕非亡國之君，汝皆亡國之臣"的心態，將影響組織的資安有效性。

危機領導

儘管避免和預防資安危機是重中之重，但預防機制只會作業到它無效的哪一刻為止。 如果我們盡了最大努力，網路攻擊還是成功了，我們的組織必須準備好應對措施，既能應對網路攻擊，又能滿足受到影響的利害關係人的需求和期望，同時讓我們的組織全面恢復業務。 由於我們在之前在述說了資安威脅故事和製定網路風險降低計劃方面的努力，我們可以在危機發生之前很久就做好準備。

對網路攻擊的技術對應需要訓練有素的團隊、回應程序和實踐。 鑑於之前我們已經對相關網路攻擊做了識別，我們的組織已經知道該準備的重點在哪裡。

組織中的C-Suite對與受影響的各方、媒體和政府機構的溝通負有主要責任。 這些機構中的每一方都有不同的優先事項，從追究責任到尋求賠償或協助。 由於事先制定了資安風險補救計劃和後果分析，我們的組織可以為C-Suite需要訴說的大部分內容和組織需要採取的行動做好準備。 如果資安危機的性質要求董事會成員直接參與，我們可以使用執行準備活動和材料。 在深入準備之前，了解一下網路攻擊和危機的一些獨特特徵會很有幫助。

網路攻擊的特徵

就其本質而言，危機的特點是不確定性、不完整的資訊和限制領導者行動與溝通方式的外部因素。 即使我們的組織擅長危機管理並習慣於處理危機，領導者仍然需要通過資訊安全的角度解決危機管理的三個核心挑戰 —

1. 危機的程度
2. 缺乏可見性
3. 一般大眾的認知

資安危機與一般危機的不同處在於 — 它是突破地理與組織限制的。它的影響性可以是全球性的，例如電商或加密貨幣交易所發生的資安事件。預測資安危機將持續多長時間也極其困難。鑑於對地理範圍和損害規模缺乏我們所認知的一般危機，確定損害的全部範圍並開展所有必要的補救活動可能需要很長時間。

資安事件的發生非常難以偵測出於幾個原因，一個是它不是實體的攻擊(強盜闖進來之類)，IT系統內的某一部分駭客控制可能是難以偵測的。另一個是從被入侵到真的發生資安事件可能是很長的時間區間(dwell time / time to identify)，平均都長達半年以上。在這麼長的時間區間中，組織是否有能力偵測到異常訊號，如果有收到這一類的異常訊號，組織內的人員是否會把它當作假警報呢?

而組織必須對一般大眾要有更清楚的說明，因為組織發生的資安事件危及的通常不只是組織本身。還可能影響一般大眾，進而影響組織的聲譽。

資安事故回應

資安事故回應不只有技術部門需要參與，也同時需要多個不同領域的專家一起加入。若要確保我們是否準備好了我們的資安回應事故準備作業，我們需要準備好以下的作業:

1. 組建了一支具備應對最重大的資安攻擊事件所需技能和經驗的團隊
2. 制定了資安事件回應程序，其中包含有關回應最重要類型攻擊的具體細節
3. 定期進行演練以鍛鍊組織的回應能力並確定那些資安領域需要更多的關注

而董事會的監管任務會有以下作業:

1. 資安事故回應團隊，具備必要的技能，能夠有效應對"最具破壞性"的網路攻擊。
2. 擁有"必要的"資安事故回應程序來應對"最具破壞性"的網路攻擊
3. 進行資安事故回應演習和演練，以解決其面臨的"最重大"的資安風險
4. 構建和組織資安演習以確定需要重點關注和改進的領域

組織高層的領導力

資安危機是由於網路攻擊而出現的商業危機。 這意味著組織的C-suite可以依賴已有的危機管理系統和流程。 他們還可以利用已經準備好的材料來管理相關的業務危機。 有如此多的流程支援，C-suite可以將之前所講的的資安危機三特徵影響的危機管理的主要要素歸零。

發生資安危機時，C-suite應該做什麼或說什麼？ 根據危機的性質、組織的整體情況及其資安態勢，應對措施會有很大差異。 然而，無論採取何種正確的行動，C-suite都可以為他們在資安危機中可能面臨的情況和決策做好準備。 這需要：

• 資安危機準備的優先順序
• 資安危機應對期間的企業級決策
• 指導行動以恢復公司和受影響的各方
• 向一般大眾提供及時、回應迅速並解決相關利害關係人關注的資訊

而優先順序該如何考量呢?以下有三個因素是我們可以納入考慮的:

1. 哪一種或哪一類的資安危機對組織最具有"顯著性與衝擊性"
2. 組織內的資安防禦態勢，也就是資安的"控制與預防"手段的有效性到達甚麼程度。是否可以應對最糟糕的資安危機
3. 資安危機的組合。是否有對資安危機做好分類，以便組織能對應不同的資安危機情境

而董事會成員對資安危機準備監管責任是:

• 確認網路攻擊的顯著性與衝擊性
• 組織重要業務活動的現行資安防禦態勢是甚麼
• 確認各種資安危機的分類與應對計畫是否完成

資安危機場景

在確定組織可能面臨的資安危機類型的優先等級後，下一步是製定C-suite可以用來在危機發生時為自己和組織做好準備的場景。 一個場景應該開始概述可能導致組織遭遇網路攻擊的商業、政治和社會等動態。 這包括識別潛在的駭客、他們的動機以及組織可能成為目標的原因。

為了使場景真實，網路攻擊本身的描述應該首先簡要解釋為什麼駭客會選擇這種特定類型的網路攻擊的動機，而不是不同的網路攻擊，以及駭客需要什麼才能成功。 成功的先決條件包括駭客所需要的知識，例如一台設備如何運作，以及所需的工具，從成套的滲透工具包到剪線鉗。 此外，場景應明定駭客的位置，包括地理上的（例如，本地或遠端）和組織上的（例如，員工或承包商與外部人員）。 它應該指出網路攻擊的主要步驟，所有這些都符合我們在企業的資訊安全指南 — 問題這一文提及的首要原則 — — “如果你理解就不用詮釋它”。 該場景的結尾應描述對組織及其運營和設備以及對組織的客戶和其他利害關係人的影響。 該描述應與組織的風險胃納(risk appetite)相比較。 其中大部分資訊已包含在相應的資安威脅故事中。

而針對資安危場景，我們的監管責任是確保以下資訊都存在於場景資料中:

• 網路攻擊和由此產生的危機可能發生的廣泛背景
• 網路攻擊概述
• 對組織及其利害關係人的後果