曾協助遊戲橘子解決資安問題的果核數位營運長許武先表示,強化員工的資安心防,讓員工可以辨識不合理系統存取、資安威脅,就可以提高企業的安全性
臺灣線上遊戲業者遊戲橘子早年代理天堂的線上遊戲後,曾經發生層出不窮的玩家寶物和個資外洩事件,從遊戲橘子IT部門獨立、現任果核數位營運長許武先最早就是為了解決遊戲橘子資安問題才來到遊戲橘子。從任職之初,公司便確認資安是公司營運第一優先,再從組織搭配網段切割,並針對不同角色設定適當KPI(關鍵績效指標),他認為最重要的是,面對層出不窮的資安攻擊,員工堅實的資安意識,才是企業安全最後一道防線。
資安是公司營運根本,沒有資安就沒有營運
早年,遊戲橘子代理天堂的末期,的確發生許多玩家寶物遭竊、個資外洩的資安事件,甚至威脅遊戲橘子的生存。為了解決這個問題,遊戲橘子創辦人兼執行長劉柏園找許武先擔任資安處處長,為了展現重視資安的決心,關鍵是,當企業營運和資安衝突時,什麼是公司營運的優先指標。
遊戲橘子有各個不同分公司或子公司,每間公司都有營運長,許武先說,剛開始,為了確保所有的遊戲上線時都有基本的安全性,要先做過源碼檢測(Code
Review),且修正缺失後才能上線。
當時,有分公司遊戲上線前無法通過源碼檢測,但希望上線之後再修改。營運團隊和資安部門相持不下,劉柏園拍板定案,要完成源碼檢測並完成修改後才能上線。確認資安優先的營運政策,才讓資安才能在遊戲橘子這種搶時效的產業中,落地生根。
除了資安優先外,許武先表示,公司要能夠從執行長高度,針對資安和IT設計不同的KPI,管理公司IT的資訊長,目標是降低成本、提升效率和改善效能;對資安長而言,資安是昂貴的,會降低系統效率、拖慢效能,但資安的KPI就是減少資安事件和提高企業營運安全。這樣的指標和IT部門的KPI全然相反。許武先認為,IT部門管資安部門的形式,將成為臺灣企業的困擾,畢竟,當IT和資安兩者KPI設定有衝突、預算分配有衝突時,在公司具有比較高位階的資訊長時,為什麼要去在意一個只會扯他績效後腿的資安長呢?
員工資安意識高,將成為企業資安長城
就國防來看,心防是民防的基礎,要強化國防必須先鞏固心防,許武先認為,對企業而言也是,有再多資安軟硬體設備,如果員工的心防(資安意識)沒有提升到一定層級,只要一個小疏漏,遊戲橘子就可能淪為駭客的幫兇。因此,強化員工資安意識,一直是遊戲橘子資安部門的全民運動。
許武先說,強化心防之前,公司組織的基本防護規畫還是得落實,像是,原本遊戲橘子全公司只有一個Class
B的網段,一旦有惡意程式入侵,將如入無人之境。
在他擔任資安處處長時,依照公司部門和功能規畫專屬網段,除了限制損害範圍,也盤點不同部門間的系統搭配作業流程有哪些存取是異常的,藉此釐清作業端和系統端的盲點,作為資安防護的第一步。
再者,讓員工成為企業可疑郵件或存取的過濾器,許武先說:「遊戲橘子透過資安教育訓練,真實呈現駭客與被駭者思維與作為,讓許多員工才真正意識到,原來點到一個錯誤的連結,資料都會被偷光。」
許武先認為,遊戲橘子把資安種子植入每個員工的DNA,員工都能提高警覺時,就是企業資安最好的防線。(文/黃彥棻) |