credit: AilinStock, DNDmemes
靈感來源:UCCU Hacker
自從上次小華遇到的密碼鬼故事,小華了解大部分普通企業對於資安稽核的認識就是只要檢查的當下沒事就好的,
而今天我們要講的就是資安標準的鬼故事。
以下故事純屬虛構,如有雷同那就雷同
小華所在的公司主要是做系統整合,
而這個對話發生在小華到了一個客戶單位做到場服務的時候的對話
客戶:小華,我們單位上週通過 ISO27001 了耶
小華:是喔!恭喜耶,你們 ISO27001 包含了那些區域阿
客戶:就機房阿
小華心想:只有機房阿,你們其他有重要資料的東西都不用納管的嗎
客戶又接著說:當初我接到命令的時候還以為是全部都要,但老闆說通過就好不用搞那麼複雜。
客戶:上級也只會在意有沒有過資安標準而已。
這故事其實放到許多產業都很通用,筆者還是鼓勵資安標準這件事。
有了這些標準有固定的項目,讓大家有方向可以遵循並且讓其他人知道你有符合標準,
大家有一定的信賴基礎,當然不代表沒證照就是低於標準,是不是感覺跟證照很類似呢?
台灣近年各家工廠開始導入工控資安標準,
原因是甚麼?因為人家金主爸爸要你通過認證!
認證是一個最快的方式知道你有沒有符合基本 60 分,
金主爸爸也不用傷腦筋去想辦法搞懂你的資安的方式。
在台灣一堆企業有通過各式各樣的資安/管理標準,
為什麼他們還是會有一些離譜的資安事件?
因為大多數的企業都是一個 60 分心態,我有通過!不用努力了
而稽核員每年去稽核這些單位的時候,往往就會請他們某部分加強,
但因為他們合格了沒有甚麼缺失,只能口頭說改進方向。
這種感覺就像是老師每次抽查作業,看到學生作業都有做,
但難的題目卻亂做/放棄,老師也只能苦口婆心的說下次加油。
以本篇故事來說,只有機房部分納入資安範圍也是一個常見狀況,
希望大家看完這故事可以記住,資安沒有絕對安全只有相對安全,
擁有重要資料的部門也應該納入,畢竟這是公司生存的資本。
當你只滿足於 60 分,你的安全就比別人差一些,
柿子都挑軟的吃,駭客在網路上找目標也是同樣的道理,
雖然網路上比60分低的企業還是有,但駭客數量眾多難保不會挑到你。
有驗證其實也很多不到60分…
其他人眼中的 60 分 XDDD
可能一個科目(e.g. 機房控管) 60 分,其他都不及格,
現在的生態就是拿了這個就跟大家講我有考過 60 分。
我也覺得就算有標準可能還是不及格,畢竟有標準補習班的存在,
這些單位有沒有吸收進去又是另外一回事了。
其實稽核都會在驗證 ISO 27001 高層訪談的時候都會跟長官提出
「咦我發現你們除了機房還有什麼資訊業務,要不要納進來一起驗」
但通常長官不願意會有幾個點:
(1) 加範圍加人天 = 加錢
(2) 可能要調整工作作業流程、加文件、加人 = 加錢
(3) 有就好了,幹嘛改
久而久之,問很多次長官也會煩,長官不買單就會換驗證公司了 Q"Q
一開始稽核全部可能分數太難看,還是分段慢慢來,而且省錢<---老闆通常會這麼想