達文西個資暨高科技法律事務所所長葉奇鑫推薦一款資安風險量化框架ISACA COBIT 2019,針對資安治理系統列出4大設計步驟,包括瞭解企業處境和策略、決定初始治理系統範圍、精煉治理系統範圍、總結治理系統設計。

圖片來源: 

攝影/王若樸

達文西個資暨高科技法律事務所所長葉奇鑫今(4日)在臺灣資安大會上,分享一款資安風險量化評估工具ISACA COBIT 2019,能根據不同企業的重點資產,來量身打造專屬資安評估和建議,比傳統的資安標準ISO 27001更靈活;即使企業面臨多種資安風險量化挑戰,如風險評估方法不一致、經驗不足造成資料分析限制,他建議,可以用ISAC COBIT 2019來改善。

為何要量化?

葉奇鑫是臺灣少數同時具有法律、科技和金融實務經驗的專家,曾任法務部檢察官、eBay交易安全長、露天拍賣營運長,現在不只擔任律師事務所所長,還是永豐金控董事、電腦稽核協會的理事長等。

在他看來,「量化是衡量事物最直覺的方法,有著一目了然、客觀且協助決策的優點。」比如以分數來表示信心程度,讓人一看就懂;或是以數學公式量化金融風險,客觀陳述;對企業決策者來說,量化可以協助主管快速決策,優先將資源投入需要修補之處。

資安風險量化的現實困境,IT和營運角度大不同

資安風險量化更是如此。但,資安風險量化還有不少現實困境,葉奇鑫舉例,像是風險級距劃分不統一,「有些太過籠統,有些太過細緻,」比如有些資安風險評估是1到5分,有些1到10分,其中每一分的級距就很難界定。

此外,資安風險量化還有只重資料、輕忽分析的問題,以及資料認知偏差、資料規模和品質不理想等。這些看來也許抽象,葉奇鑫以自己過去在露天拍賣的經驗來說明,有天自家技術長告訴他,搜尋引擎的物件最高承載量只有400萬件,等於架上拍賣的物件一旦超過400萬件,「網站就會開不起來,」而且「明天就會發生。」

這對任何一家企業來說,都是「巨大的IT安全挑戰。」當時技術長的解決方法是,利用開源框架重新開發一個搜尋引擎,但要花3個月。這在負責營運的葉奇鑫看來,IT人可以考慮這個選項,但對營運者來說完全不行。於是,他要求內部人員每天將最舊、未賣出的商品下架,來維持400萬件內的物件數,直到3個月後新引擎上線。

或然率不確定性怎麼估風險?資安風險量化的實作挑戰還有這些

不只如此,在實作上,資安風險量化也有許多困難,比如或然率的不確定性。葉奇鑫指出,事件發生的可能性以機率表示,但機率本身是不確定的,比如他5年前進行證券商的IT系統評估,對方告訴他,系統承載量為每日1千多億元成交量,但證券商為了保險起見,會用3倍最大的,也就是3千億來設計最大承載量。

「但最近的股市成交量高達5、6千億元,導致各券商的App幾乎都會出現不順的情況,」他認為,這是因為,5年前,證券商對5年後成交量超過5千億元的可能性評估是0,這就是或然率不確定性導致的風險。

除此之外,實作困難還有多因素資料分析的協調難度、經驗不足導致資料分析不全面,以及相關人才稀缺等問題。其中,多因素資料分析協調困難的意思是,「公司越大,資料範圍就越廣,」比如金控底下有銀行、證券、保險,3種業務截然不同,要全面盤點資料來量化資安風險,也就越複雜。

COBIT 2019風險量化框架可以怎麼用?

雖然資安風險量化有著種種困難,但葉奇鑫認為,每家企業還是得根據自家最重要的資產,來量身訂做最適合的風險量化評估,而且,「好的資安風險量化框架,能助企業扭轉劣勢。」他也盤點目前幾款主流的資安風險量化框架,像是國際電腦稽核協會(ISACA)的 COBIT 2019,以及常見的ISO 27005、NIST SP800-30、OCTAVE和OWASP等。其中,他特別推薦COBIT 2019。

COBIT 2019以前一代COBIT 5為基礎,再加上新法規和社群貢獻內容設計而成。COBIT 2019架構龐大,包括核心元件、相關框架手冊、設計指南、聚焦領域,以及最終產物:客製化的企業IT治理系統。

以核心元件來說,COBIT 2019有5大類核心模型,首先是EDM為編號的治理框架設計和維護、風險優化等,再來是APO為編號開頭的資料管理、預算成本控管、人力管理等,第3類則是編號BAI的託管計畫、託管IT變化、託管設置等,接著是DSS編號的託管安全服務、託管作業等,最後是編號MEA的託管內部控制系統、託管成效等。(如下圖)

以實作流程來說,COBIT 2019和常見的企業流程管理PDCA類似,「但步驟更細緻。」葉奇鑫解釋,COBIT 2019核心概念有7個步驟,包括起始計畫、定義問題和機會、設定藍圖、擬定計畫、執行計畫、實現益處、檢視成效等。(如下圖)

針對資安治理,COBIT框架也特別涵蓋一套系統設計流程。這個流程有4大步驟,分別是瞭解企業處境和策略、決定初始治理系統範圍、精煉治理系統範圍、總結治理系統設計。在每一步驟中,又可再細分好幾個小步驟,讓企業按部就班設計最合適的系統。(如下圖)

另一方面,COBIT框架還有一套風險情境評分表,讓企業根據不同情境,來評估風險衝擊程度和發生的可能性。最後再以不同顏色,來標註該風險的程度高低。(如下圖)

接著,系統會根據上述風險評估結果,以一張視覺圖表來呈現。葉奇鑫解讀,圖表中的面積越大,就代表企業在該領域的表現越好。(如下圖)

根據這個風險量化結果,COBIT也提供一套決策示例表,來解釋企業決策和企業內部人員的關係。表中涵蓋不同的決策主題和範圍,以及企業內部的負責單位,包括執行小組、IT治理董事會、企業風險小組、專案管理者、專案小組、IT管理、業務處理負責人和職員。

而要考量風險的利害關係對象時,最重要的就是RACI模型,這4字分別是指執行者(Responsible)、當責者或應負責者(Accountable)、需諮詢的對象(Consulted),以及需告知的對象(Informed)。舉例來說,以下表第一項「治理」主題為例,執行小組和IT治理小組對應到R,代表這兩組負責執行決策,而企業風險小組則對應到C,也就是需要諮詢的單位。至於對應到I的職員,則是要被通知的單位。(如下圖)

他希望,除了ISO 27001之外,這套資安風險量化評估框架,可以成為臺灣企業的另種選擇。


熱門新聞

Advertisement