董事會該從ROI評估資安防護投資效益嗎?
近期受邀在企業董事會授課,談論有關資訊安全治理與策略,以及地緣政治對資安防護的重要性。由於企業分別屬於金融與製造不同產業,董事會成員對於資安議題,一者是這幾年因應金管會頒布的行動資安規範,二者則是因同業,或是自家公司遭遇資安威脅事件,因此紛紛提高資安防護的警覺性,並開始設立對應組織資安防禦的專責單位。
在此,我要大聲呼籲決策者,資安防禦不能以成本衡量,必須從投資的角度去審視,因此在董事會聽取資安最高階主管的報告及預算編列,董事會應該從風險控管與資源配置,給予建議與監督。風險控管是從公司營運或對產線中斷的衝擊分析;資源配置則應從公司的獲利程度,以及對公司造成巨大影響的項目優先考量。目的就是要避免企業遭受持續營運的威脅衝擊,造成不可逆的巨大損失,如:上市櫃公司在開盤股市被停止交割,或是公司數天、甚至一週以上無法營業,造成公司的事業伙伴、客戶,以及市場投資大眾,對該公司董事會與經理人產生不信任的質疑。
強化資安專業技能,提升員工資安意識教育
某次拜訪企業資安長時,資安長告知公司董事會,要求他對資安防禦的ROI(Return of Investment;投資報酬率)提出說明。然而,資安防禦對企業而言,是一種風險控管,沒出事都覺得現狀就足夠安全,一旦有資安事件,則是緊急找廠商提供縱深防禦的規劃,因此,談投資在資安防禦的回報,變成像是作文比賽!!資安事件的風險,是所造成的損失,我們就引用資安產業方案供應商所計算其產品ROI的公式為例,ROI=(平均每次資安事件損失$)×(一定時間內的事件數目)/(投入的資安防護費用),若採用這樣的計算方式,來說明資安防禦的投資報酬率,是很難有正解的。因為資安事件的攻擊手法不一定相同,勒索軟體跟DDoS攻擊造成的災損就不同,地緣政治局勢的詭譎變化也無法預測,這就好比要讓身體健康不生病,運動、飲食,以及正確的健康觀念,都是關鍵影響因素,要以投資自己身體健康去計算ROI?因此,在探討資安防禦的投資報酬率時,應該把ROI解讀Risk of Incidents(事件發生的風險值),從風險控管的思惟,去評估投入的資安花費,或許會更容易找出資安防禦上的優先順序。
對於資安防禦的投資,可不是把相關的軟、硬體,以及服務費用的加總計算,因為資安的日常維運人員及資安教育訓練,都是投資的要素之一,現在相關的資安軟體都已經是訂閱制,每年重新續約,這些都是持續性要投入的費用,不同於硬體可用年限做攤提和折舊!在人員上的投資,除了強化維運人員對事件處理的資安專業技能,還有在每年對員工資安意識教育的提升。資安事件的破口,常來自於釣魚的電子郵件、簡訊,因此,端點設備僅靠防毒軟體不足以強化資安防護,平時要隨時提高警覺性,將資安變成生活的日常防護,並且針對不同的駭客攻擊手法強化防禦技術,才能保障企業的數位資安韌性。
另外,從法規遵循來檢視ROI,〈個資法〉在112年5月通過三讀,提高罰鍰上限,處新台幣2萬元以上、200萬元以下罰鍰;情節重大者,處15萬元以上、1500萬元以下罰鍰,屆期未改正者,按次處15萬元以上、1500萬元以下罰鍰。金管會則對上市櫃公司若發生「重大資安事件」,應即時發布重大訊息,最晚要在次一營業日開盤前兩小時重訊公告,違反最重可罰500萬元違約金,依據台灣證劵交易所之重大資安事件規範,指的是:以賠償及損失超過股本或實收資本額的20%,作為強制發布重訊的依據。法規上的規範,僅是對於公司治理上的一個提醒,因為資安防禦是公司數位化,以及系統資訊化在日常維運必須建立的,所以從投資角度需要有優先排序,從風險控管角度,則是避免公司日常維運受到中斷,或是因資安治理不佳,而導致企業被監管單位處以罰責,造成公司信譽受損。
潛在威脅加劇,打破重建對ROI傳統概念
董事會為公司最高治理單位,要能監督公司是否建置資通安全風險管理架構,訂定資通安全政策、具體管理方案,以及投入資通安全管理的資源,要貫徹落實,並揭露於公司網站或年報。負責執行中階及基層經理人在資安防禦的規劃部署,就會有更全面的考量。因為要接受上層的監督跟考核,相關人員可依據 ISO27001國際標準,從資訊安全管理之目的,在於透過規劃、建立、執行與監控的機制,保護資訊資產的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),來驗證企業在資訊防護的規劃、建置的有效性。從ESG的角度,就是保護公司營運機密,並防止個人資料外洩,以達到公司永續的使命。
在數位時代的今日,各種資訊的應用跟資料存取,透過不同的系統架構,讓企業的IT(資訊科技)架構多元而複雜,資訊管理的難度相對提升,也讓資安的潛在威脅及挑戰加劇,在企業永續以及個資風險意識高的趨勢下,千萬不要還停留在計算資安防禦的投資報酬率(Return Of Investment),應該打破重建對ROI的傳統概念,讓資安事件的風險(Risk Of Incidents)一路往上升。
後記:在筆者要完成文章時,正巧有位資訊長跟我聯繫,請教一些資安問題的解決方法,我在一個小時內迅速找到鑑識、網站跟雲端服務的專家們討論,並快速回應,我想,這位資訊長也才跟我喝過兩杯咖啡,他的ROI一定是最高的。