經過十幾年的發展耕耘,業界對於「資訊安全」的想法已經和最初相差很多。一開始多數人的資訊安全概念都始於對系統外來威脅的防護,再來進化到了對系統單點錯誤的容錯處置。然而隨著知識的演進和科技的變化,資訊安全就像戰爭般開始強化多層次與縱深防禦,例如早期採取內外層不同性質防火牆,到現在以管理層的策略串起各層次防護的實踐,並搭配對人員的教育訓練等等。
資訊安全的概念與實施手法日益朝更深更廣的方向演進,正因如此,「資訊健康」的想法和觀念也就逐漸從「資訊安全」中衍生而出。二者的差異何在?簡而言之,以資訊安全為出發點時,探討與解決問題的立基點在於「對威脅的克服」;而以資訊健康為出發點時,則力求著重於「避免風險的產生」。
本文本著推廣以資訊健康逐步取代資訊安全的觀念,從企業的人文本位(人文社會角度)、架構物件化(企業雲端化)以及空間彈性化(企業行動化),也就是「人、物、地」三個不同的角度來剖析,從而探討如何架構一個健康的企業資訊環境。
以人為本的企業「資訊健康」概念
以我們所身處在的資訊環境以及伴隨而來的這十多年來資訊安全科技發展進程,我們都很清楚明瞭,資訊安全最重要和最脆弱的一環就是「人」。
如果以「資訊安全」為立基點談論「人」,我們可能會從使用者、操作者的「資訊安全意識」論起,並逐漸論及如何透過教育訓練加強深化其資訊安全意識,以免不幸憾事發生。更深入者,可能會就人性面再論及到「資訊安全政策」的適當規範與施行方式,例如施行輪休或輪調制度(Job Rotation),以及最小權限原則(Principle Of Least Privilege,POLP)等。
然而,若從「資訊健康」為立基點檢視企業資訊環境的人文面,可能就要更深且廣地去思考人性行為和人文因素,因為人性行為和人文因素為是影響人類舉動的重要原因,並且是導致組織運作過程和結果的重要環節。近年來,國外有些學者特別為此創造了一個新的組合名詞叫「Psychosocial Risks」。
有人的環境就有心理社會性風險
簡而言之,在一個企業或組織的資訊環境領域中,Psychosocial Risks可以理解為人類使用者因其心理內部的狀態和接收到的外部社會意識感知而引導其做出的實際行為,而這些行為可能會是企業或組織資訊環境的風險因子。
舉例而言,不舒適的工作環境,可能會是潛在造成使用者破壞企業組織資訊安全或資訊健康的風險因子。比方說,一個資訊設備操作人員其原本就對不舒適的工作環境,心裡潛存著不滿意感,但也沒發覺自己有這種心態,直到某日聽到其他人員也在抱怨與其相似的不滿意感,該員感知到了這種群體社會意識,進而對其企業組織的資訊環境做出了傷害資訊安全或資訊健康的行為。這就是一個簡單的Psychosocial Risks的例子。
所以,如果一個企業組織想要達到人文面的「資訊安全」,不外乎就是要做到一些原則與規範外加教育訓練;而如果要超越資訊安全的視野達到「資訊健康」,可能就要對潛在的Psychosocial Risks加以分析研究。
從IT雲端化及架構物件化探討
在今天這個快速變化的商業環境資料世界中,有兩個名詞可能足以恰如其分地形容所有參與者的心情,那就是「彈性」與「複雜」。從彈性與複雜這兩個形容詞,則可以勾勒出的是部署所導致或衍生的相關問題。由於大環境雲端化和架構物件化的變革,所有的IT環境的各個環節已經不再像以往那麼單純,大家正逐漸地從On-Premise邁向雲端如所謂的SaaS甚或是SDN。
 |
| ▲在雲端應用結構中,各參與者和被運用資料之間具有複雜的連結關係。 |
在「On-Premise 時代」,我們會建構自己的機房、自己的IT環境,購買並架設自己需要的機器,安裝自己需要的軟體,運用自己手上握有的資料,並且視這些資料為企業寶貴的資產。在「雲端時代」,我們一樣要建構,但建構方式是將不論自有的或他屬的有形及無形資產,視需求結合在一起,從而產生新形態的IT環境。
舉一簡例而言,一個企業或組織在On-Premise時代必定需要設置SAN環境和Storage設備以利資料儲存,但是在雲端時代可能整大筆的資料化為無數片的小物件,存放在沒有人能實際知道的地理物置。然而,這是變革的趨勢也是資訊安全的順勢發展。在自有SAN和Storage的情況下,企業或組織必須想著要克服資料損失的風險,所以會有備份及異地備援這些可能措施。
而在架構物件化的情況下,從使用者的角度而言,已將這些風險轉移出去,在服務提供者的角度而言,則已將儲存位置分散化以降低損失數量的風險,並且其內部也必有一定的容錯機制。