ISACA Journal
Volume 5, 2,016 

Translated Articles 

如何針對人為因素進行查核以及如何估 

作者: Tom Pendergast, Ph.D.  

2016 年的資料外洩調查報告(Data Breach Investigation Report, DBIR)中, Verizon 公司的第九年度之年報說明了一些可怕的訊息-一種傳播媒介,來自人為因素所構成之威脅,變得比以往更加的危險。而在最新的資料外洩調查報告中,又再一次強調了一項事實,即員工在許多資料外洩的案例中持續扮演著重要角色。在那些已確認的資料外洩案例中,約莫有63%的案例與密碼的脆弱、密碼的預設值以及密碼盜用有關。而更糟糕部分,是那些各式各樣繁雜的錯誤-即員工將資訊發送給不正確的資訊收受者,在那些資料外洩案例中,這類錯誤幾乎占了將近18%左右。1 儘管有著許多的預防性措施,但在資料外洩與安全事件中,來自員工所造成的錯誤與相關的威脅仍佔有相當的比例,而且這類的錯誤與威脅正以驚人的速度增長著。

那誰才是錯的?這是很難去評斷的,原因是雖然員工是很明確地被認定為一項企業的風險來源,但在風險性的電腦安全實務上,董事會與管理階層對這方面也逐漸負起越來越多的責任。事實上,在最近的研究顯示,員工通常會直接想把關於電腦方面的缺點與錯誤歸咎於董事會與管理階層。根據一項對英國上班族以及IT 決策者(IT decision maker)的調查,對於 那些重大資料洩漏,有29%的人認為 CEO 應該負責,另外有38%的上班族認為董事會應該負責。2

而與員工和這些上班族不同是,董事會和管理階層正在尋找那些在IT 或資訊安全的相關人員,並且詢問他們正做些什麼來減緩這些由「人為因素」(Human Element) 所產生的風險。無論這些對現行措施和實行狀況的「審視」(Examination) 是否能稱為審計或其他名詞,這些審視行為的推行都是為了更加嚴密的會計組織工作,進而解決這項最令人擔憂的安全風險-員工。董事會和管理階層想要知道有哪些「審視」的行動正被執行著來解決前述的問題以及是否這些行動能達到他們想要的結果。他們希望看到的是有一個真正的認知程序,而這個程序都已準備妥當,也就是一個針對員工知識和行為有意義的變化所建立程序。

然而,那些被要求執行這項查核的人會發現到在這類查核主題上,其相關的指引是非常少的。這些計畫評估指引的來源一般有-美國國家標準技術研究所(NIST)、國際標準化組織 (ISO) 以及美國健康保險可攜與責任法(HIPAA)等提供的各種文件,這些指引對於認知計畫之準則與必要條件或需求只提供了不甚明確的描述。

但幸運的是,在這個領域中還是有不少良好的實務範例可用來幫助組織評估在應對這些人為因素所構成的威脅上,他們所採取行動是否正走在正確的軌道上。一些世界上最有風險意識的公司,他們所採行的最佳實務強調著某些一些重要的核心屬性,當組織尋求著改善人為因素的表現時,這些組織應尋求(或是創造)那些最佳實務中所強調的核心屬性。

雖然這些最佳實務有著不同的形式和不同的名稱,但那些最好的認知計畫卻有著一些共通之處:他們評估和分析在組織中真實的人為表現;他們制定一個用於持續改善的計畫;以及他們引入了一系列旨在改變行為和鼓勵風險意識文化的教育干涉措施(如培訓和加強)。那些嚴肅看待人為問題的組織明白他們必須檢視員工對於安全的知識、技能以及態度(以及隱私,通常在員工眼中相互交織在一起)。而這需要他們往後退一步才能將組織文化的全貌一覽無遺,並且藉此評估員工現下正用著(尚未用著)哪些可能的方式來理解和應對與安全相關的風險。

在用來了解公司人為風險要素的最佳方法中,其中一些方法是藉由執行員工調查來了解這 些風險要素,而這類員工調查,包含了在員工培訓前與員工培訓後。這可以幫助組織了解員工在經過一天的培訓後真正學習了哪些內容,藉此公司組織也能明白在未來應做哪些適當的改進。即便預算相當有限,公司其實也不缺乏一些免費的產業資料,比方說,像是前段內容所提過的資料外洩調查報告(DBIR),用以幫助公司瞭解它們自身特定的員工風險。只有當風險要素被正確辨認與瞭解,公司才能確保其能夠向適當的員工提供適當的培訓。

除此之外,那些來自網路事件報導工具的資料,像是證券和「安全性資訊與事件管理」( Security and information event management, SIEM)系統和可能已經存在的資料損毀預防(Data Loss Prevention, DLP)將有助於了解資料處理問題方面的流行。用戶及實體行為分析(User and entity behavioral analytics, UEBA or UBA)之概念迅速地變成一種用以解析那些透過從SIEM與DLP以及其他來源所蒐集的全部資訊之方法,並提供監控網路的IT專業人士最快最新的資訊。UEBA工具在辨認IT環境中所存在的不良行為之型態與標誌提供了真正的價值。

UEBA的一個令人興奮的新興用途,是它能把「即時訓練」與違規發生的當下連結在一起。比方說,UEBA可能辨識Jane Doe正把一個公司文件儲存於一個未被授權的雲端空間,像是 Dropbox、Box或是Google雲端,並傳送一個系統產生的彈出窗口,該彈出窗口是用以提醒她關於在一個已授權生態系統中公司文件儲存的公司政策。如果下次Jane又做了相同的行為,該系統可能會提供一個短片說明為何應該避免將文件儲存於未被授權之雲端空間的最佳理由。在經過數月後,如果Jane又犯下相同的錯誤時,系統可能就會自動替她報名一場約15分鐘有關已被授權之雲端儲存空間以及正確儲存公司文件方法的課程。對於在適當時間給予適當的人正確的訓練,前述有關Jane的舉例是最佳的範例。

而從網路監視工具再分出來的模擬網路釣魚( simulated phishing ) 與 社 交 工 程 ( social-engineering),這類的攻擊揭示了當員工面對這些攻擊時,他們最可能做出的風險行為。這樣的模擬可以使用各式各樣聰明的技術來蒐集密碼、獲得讀取敏感性資訊的權利或是透過簡單的電子郵件或電話呼叫、尾隨或是在工作環境中所留下的虛擬USB設備等手段獲得實體的使用管道。

許多供應商提供模擬網路釣魚作為整套認知程序的一部分。但那些把網路釣魚作為最重要的網路威脅且過於關注這點的供應商,應該被謹慎地看待。這種作法只能看到單一的攻擊面向(即只關注網路釣魚),並無法幫助員工看見這些威 脅其多層次的本質。

改善員工績效與文化的另一個重要步驟是瞭解組織行業特有的風險以及其獨特的經營環境。比方說,如果一個組織有設立一個客服中心,在客服中心工作的員工相較於那些在銀行工作的人會面對更多不同種類的風險因子,而產生這種狀況只是因為工作內容本質上之差異。了解業務特定領域的風險因子可以讓組織針對其員工特定的職務提供專門的培訓,這種作法本質上更具針對性且更具實用性。(訓練如果不相關,則失去其有效性。)

近來,美國證券交易委員會(Securities and Exchange Commission, SEC)已注意到電腦網路安全是美國金融系統最大的風險,隨著證券交易委員會主席Mary Jo White說過的這段話〝到目前為止,在普遍一般的情況下,我們所做的是許多的準備以及那些應有的認知,但這些準備和認知所帶來的政策及程序卻不是對他們(此處他們是指前述的準備和認知)的特殊風險量身訂做的〞。3 最近一份由美國證券交易委員會之遵循檢查 辦公室(SEC Office of Compliance Inspections and Examinations, OICE)所作報告,其對證券業進行了檢查,並建議整個證券業“關注如何讓所提供的訓練符合特定工作職能以及如何設計該訓練使其能鼓勵負責任的員工與負責任的證券銷售者行為”,4 這樣的說法進一步地支持那些具有符合目標需求及有用性之訓練。

雖然有許多可以拿來執行分析的工具,但這些工具的最終的目的都是相同的:提出五到十個以「人」為本的風險因子的列表,可以作為努力改善的重點。(實際上並沒有一個應找出之風險因子的最佳數量,而且越是有效的計畫會限制他們應關注的重點數量)。一旦這些以「人」為本的風險因子能被理解及敘述,下一步就是發展一個認知程式(Awareness Program)的計畫去處理這些風險因子。就跟其他狀況一樣,當你想要開發一個成功且具綜合性的認知程式時,規劃往往是一個關鍵的步驟。身為規劃裡的一部分,組織通常應該先問問自己本身是否已建立了正式和非正式的教育計劃。一般我們常說的智慧指的就是正式的培訓,這類培訓通常是以Web為基礎來運作的。會這樣做很大的原因是因為這種做法能讓員工對其所接受的教育訓練負責,但如果一個組織是真的想要提升它的員工並且建立一個重大的行為改變,教育計畫就絕不能中止。最好的計畫並非只依賴正式的員工教育訓練,而是他們得靠著各種教育措施來傳動想要員工應具有的知識及應有之行為。

一旦組織有個堅實的計畫,他必須迅速地檢視自己是否有足夠能力去給出一個方案並做好規劃。舉例來說,一個組織是否有能力給出一個以遊戲、影片和海報為形式的再提昇教育?管理階層和董事會是否願意擁護與支持那些每日與員工溝通的內容?是否將適當的人分配到適當的位置來支援計畫的執行?對於執行一項計畫以及決定是否該計畫能在未來一年中以各種具適應性的活動,像是網路釣魚、培訓、海報、遊戲、動畫等等方式來運作的角度來看,具備能成功部屬計畫的組織能力是相當關鍵的。

在更為進步的組織中,其目標在於思想上的變革,像是將有關資訊保護的訊息融入日常生化的文化中。這可能包括那些被貼在牆上使人琅琅上口與印象深刻的海報、在大廳中的螢幕中播放動畫影片或者甚至是能讓人們彼此相互競賽的遊戲以及讓員工展示他們對安全與隱私的了解。在了解那些正在被實行且更為正式的培訓,並比較前述所提的舉例後,就更發現兩者間的差異。

有個經常被引用的例子-微軟,因為他們在這方面做得相當出色。只要是漫步於任何一間微軟他們所設立的校園的人,應該都對裡面各種由電腦或其他電子設備所發出不停變動的短訊不陌生,而這些短訊的內容都是有關安全及隱私。任何一家公司的稽核人員或主管在走動時都應該看到這類能提升意識的設備。如果他們確實這樣做了,這表示一家公司在保護公司資訊方面取得了巨大的進步,同時也授權員工去做同樣的事。

除此之外,一個好的教育訓練計畫應該要對扮演著不同角色的員工提供基礎性的或是具特殊目的性的培訓,例如說,像是人力資源部門的員工和IT部門的員工,應該接受符合他們專才來量身打造的訓練。這麼做為什麼這麼重要?IT部門員工不需要知道有關如何保護與潛在員工的對話,但需要知道精通如何防止未經授權的資訊讀 取和使用。相反的,人力資源工作人員並不需要關心資料傳輸交換的實務教育,儘管被保護著的敏感性員工資訊正好在他們平日工作的地方。

將教育重心放在那些需要它的人的另一種方法是-在賦予訓練前,使用一個用來評估員工能力的方法。這該怎麼做到呢?絕不是直接給員工一大堆各種不同主題的培訓-這種做法是最耗費金錢且最耗時的-而是針對個別員工所缺乏的部分去給於培訓。比方說,在過去一年中,Jane Doe已經碰上五次模擬網路釣魚的測試,在這五次測試中Jane都是在未點擊那些鏈結(Link)的狀況下將這些模擬網路釣魚直接轉寄給IT部門,然而在這五次測試中,John Doe卻咬了三次餌。基於前述的資訊,由任何一人來判斷都會認定 Jane不需要網路釣魚相關的教育訓練,而John肯定上卻是需要的。辨認個別員工的所知程度能夠節省時間與金錢,因為對組織來說它可能就不必然要訓練他們二人,而只需要訓練John就夠了。有句話叫「時間就是金錢」,而且當員工花費時間去接受那些他們並不需要的教育訓練時,他們有可能會錯失那些對他們來說更為重要的工作任務(並得出資訊安全對他們根本不重要的結論)。

即便是那些已確認其自身特定的風險因子、也制定了一項計畫,而且打算實施那些正式及非正式教育訓練的組織,如果該組織希望藉著評估其自身是否已具有強調「安全」概念的文化,他們可以為此去做得更多。雖說進行這項評估並不容易,但並不是完全不可能做到的。這種層次的資訊收集需要嚴謹的員工知識評估。一個對強調安全概念的文化所進行的診斷調查已經被設計用來辨認及比較組織內的安全文化,而且可以在以人為本的安全文化中找到一個東西-即「轉變汝之企業安全文化」。5

或者,組織可以藉由去看主管及高階管理階層其正在(或是非正在)溝通之有關「安全」的訊息為何。此外,組織亦可去查看是否安全強化系統(像是事件報告、系統的安全審查)是正被重視著或是被使用著?資訊安全以外的經營單位 是否有意義地去參與有關安全之議題?如果這些問題中任何一個問題的答案是〝否〞或〝不知道〞的話,那樣的話這個組織可能就是未達到其所預定之安全文化(Security Culture),而這應該是它打算改善其意識姿態計畫中的一部分。

一個真正成熟的組織並遵循著NIST電腦網路安全框架(Cybersecurity Framework, CSF)6 中的三級和四級原則的組織,在處理資訊安全時,會將資訊安全視為一種持續改進的自我加強計劃,而非只是每年度,以組織強制要求員工參加培訓,這類陳舊的模式來進行。CSF清楚地說明電腦網路安全的完善程度與對電腦網路安全認知之成熟度是有層次之分的。對於這些完善程度、成熟度的層次我們能夠簡單地將其分為幾個層級:

  • 局部(Partial-Tier1):僅具有限的風險意識且不具任何與他人合作的風險管理,此階段的風險管理通常僅是為針對某個目標而特別設立的。
  • 風險知悉(Risk informed-Tier2):風險管理過程與程式皆已備妥,但卻未全面性地整合;雖然知道要協同合作,但組織卻沒有正規的能力去實行。
  • 可重複實施(Repeatable-Tier3):對風險管理過程與程式的正式政策是準備周全的,並具有部分外部的合作。
  • 合適(Adaptive-Tier4):具備主動合作特性的風險管理過程與程式是以從經驗中學習並融入文化作為基礎。

僅將教育訓練看作一個年度中某項活動之組織可能會發現自己處於層級1或層級2,而不斷改進的組織較有可能會被發現其屬於層級3或層級 4。

無論一個組織正處在某個層級或水準抑或是渴求進入哪個層級或水準,在瞭解與改進的路上,都必須先往後退一步將整體納入眼中並且審視目前的狀況來開始邁出第一步。那些最出色的組織分析他們自身的人為風險因子並使用各式各樣不同的工具;他們制定了要改變這些與風險因子有關的行為之計劃;他們有效分配所需資源去執行該計畫;然後,不管是在何時何處,這些組織給予能應付各種狀況並具彈性的教育給適當的人。威脅並不會停下腳步,而且員工最好的努力狀態並不總是能一直持續保持著。員工安全認知教育必須要能一直適應那些新興的威脅。對於實現這個目標,最好的方法就是透過一個健全的、具風險一致以及能應付各種狀況的認知程序。

作者附註:

本篇文章之作者希望揭露微軟過去與 MediaPro的合作。

Endnotes

1 Verizon, 2016 Data Breach Investigations Report, www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
2 VMare, “The Cyber Chasm: How the Disconnect Between the C-suite and Security Endangers the Enterprise,” The Economist Intelligence Unit, 2016, www.vmware.com/radius/wp-content/uploads/2015/08/EIU-VMware-Data-Security-Briefing.pdf
3 Lambert, L.; “SEC Says Cyber Security Biggest Risk to Financial System,” Reuters, 18 May 2016, www.reuters.com/article/us-finance-summit-sec-idUSKCN0Y82K4
4 Securities and Exchange Commission, “OCIE’s 2015 Cybersecurity Examination Initiative,” National Exam Program Risk Alert, vol. 4, iss. 8, USA, 15 September 2015, https://www.sec.gov/ocie/announcement/ocie-2015-cybersecurity-examination-initiative.pdf
5 Hayden, L.; People-Centric Security: Transforming Your Enterprise Security Culture, McGraw-Hill, USA, September 2015
6 National Institute of Standards and Technology, Cybersecurity Framework, USA, 2013, www.nist.gov/cyberframework/

作者: Tom Pendergast, Ph.D.
Is the chief architect of MediaPro’s Adaptive Awareness Framework, a vision of how to analyze, plan, train and reinforce to build a comprehensive awareness program, with the goal of building a risk-aware culture. He is the author or editor of 26 books and reference collections. Pendergast has devoted his entire career to content and curriculum design, first in print as the founder of Full Circle Editorial, then in learning solutions with MediaPro.

譯者: 黃劭彥, 國立中正大學會計與資訊科技學系教授,電腦稽核協會編譯出版委員會委員

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 5, 2016 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2016,Volume 5中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責

Copyright
© 2016 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2016 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每 年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50元美金固定費用,每頁收取0.25 美金。欲複印文章者則需支付CCC上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.