快與慢,當數位時代的速度遇上風險管控的程序
CJ 張晉瑞 | 數位101管理者
CJ 張晉瑞 PwC 風險及控制服務執行董事
-經歷-
資誠聯合會計師事務所 風險及控制服務 合夥人
美國紐約大學管理與系統 碩士
資誠企業管理顧問股份有限公司 執行董事
資誠聯合會計師事務所 風險及控制服務 協理/副總經理
香港羅兵咸永道會計師事務所 系統與流程管理部 經理
-資格-
CISM(Certified Information Security Manager)
CISA (Certified Information Systems Auditor)
CIA(Certified Internal Auditor)
CRISC(Certified in Risk and Information Systems Control)
ISO 27001:2013 ISMS 資訊安全管理制度 Lead Auditor
BS 10012:2017 PIMS 個人資訊管理制度 Lead Auditor
🔥 Sound On :https://supr.link/hHtTI,apple,https://supr.link/78cEA,google,https://supr.link/VE6o7 , Spotify: https://supr.link/9571K,KKBOX Podcas : https://supr.link/uMLET
🔥歡迎加入數位管理交流社團,https://supr.link/RHzO5
🔥Youtube影片:(上集)https://supr.link/bF5Eo (下集)影片:https://supr.link/QgkM0
數位管理者101是一個熱血的計ㄎ劃ㄥ,希望透過101位數位管理者(Digital Manager)的實務分享,紀錄數位管理領域中快速更新迭代的技術新思維,這些經驗及知識分享十分實戰,希望能幫助到正在為技術管理頭痛,或面對數位轉型的企業,本企劃由 fable & TGONetworks 贊助。
以下文字整理自影片逐字稿
數位轉型中被忽略的風險控管
疫情加速企業數位轉型的速度
現在談到數位轉型,企業大概不會去討論說需不需要,而是已經講說要怎麼做,剛好又從去年疫情開始的關係,更加速的這個速度,這個議題大概是數位轉型的一個期中考,看自己準備的怎麼樣。
其實 PwC 剛好在今年 2021 年有一個企業調查報告(CEO survey),剛好就有提到說在疫情之後是有 35% 的企業會大幅投資在數位轉型預算上,就呼應數位轉型已經是一個不得不然的趨勢,包括裡面也有提到 20% 的企業主對於科技快速的變化感到非常擔心
數位化產生意料之外的資安風險
用不同的層次探討不同企業會遇到的問題,例如像第一種大概是因疫情或緊急、臨時的事情,被迫不得不開始採用數位化工具,假設有個企業過去跟客戶互動的方式,可能就是要拜訪客戶、參加研討會、產品發表會,比較是用實體方式,結果現在不能出國、客戶也拒絕你去拜訪,整個營運模式、互動其實都出了問題,他就不得不去用很多的數位化工具,因為要遠距、要開會,大家可能沒有想到說往後用了這些數位工具,反而帶來以前沒有想過的風險。
像工具本身就有一些漏洞,或者是說因為公司沒有準備臨時狀況,所以員工帶著自己的電腦手機來工作,而個人電腦可能有一些病毒或防護不夠好,又或者是自己亂點一些東西,甚至是他在外面需要透過 VPN 連進公司的系統來存取,所以這是通道安全的問題。
甚至於員工在外面咖啡廳連上沒有加密的 wifi,資料會不會外洩,或者他在講客戶資料時機密被旁邊人聽,這些風險其實都是以前沒有想過的, 這是第一類的企業,它是因為一個大轉變就不得不去面對,像這一種他比較重視的應該是持續營運的風險,就是它不變就會出問題,那出了問題它就不得不轉變,轉變之後你沒有想到它有風險,去年很多公司就被強制,甚至一定要遠端開會,很多人可能就用 zoom ,後來爆出一些風險,有沒有去評估過這些風險,是不是企業可以接受的。
數位化帶來新營運模式
第二類企業大概本來就在數位轉型過程中,他面臨到風險是有沒有透過數位化的工具,去找到新的營運模式,所以第一個風險在於有適當的人才,人才是自己培養,還是可以善用外部的力量,你跟新創公司一起合作、減少自己開發的 error,或者是找顧問來讓我學習曲線變短,像這些其實都是你自己能力的評估。
或者會遇到另外一個合規的風險。以前我們照模式就穩穩當當、大家都很熟悉,可是轉換一個營運模式或用一個新的工具,去從事一樣的事情或不一樣的事情,在合規上會不會有所挑戰,尤其在金融業要求特別多。
數位化如何保留互動溫度
第三類企業可能就是很有計劃、且走了蠻長一段時間,其實都還蠻上軌道的,但是在這樣的狀況,他要面對的用數位化的工具跟客戶互動時,沒有保留互動的溫暖,就是說你能不能有感覺,人跟人的互動其實是大家見面上就很好談,或者是說大家可以從臉、互動表情有一些溫度,這很重要。
但面對冷冰冰的數位工具,如果你不能讓他感覺到一個不一樣,想想看這些客戶用了工具後,對你的印象會留下什麼,這是已經上軌道的企業會面臨到的一些挑戰。
數位管理如何用風險評估來取捨
在臺灣一般的企業有一個常見狀況:「沒有發生就不是風險,或者就是賭他不會、我沒有那麼倒楣。」當然我們心中都知道這個觀念不對,因為一定有風險,但你也沒有辦法耗費所有資源把風險降到零,這是不可能的事情。
有一些企業會說老闆很有經驗,他說是風險才是風險,這種方式也都不是那麼恰當,企業裡面有一個風險評估方法,就是說風險有很多、資源卻有限,所以一定要知道什麼是最重要的點,來做風險管理,例如像參考 ISO 3 萬億這種管理框架,這風險管理框架同 Top-down。
皇冠上的寶石
但每個企業有它不同的文化,如果說我想要踏出第一步,可是我不知道怎麼做,我這邊分享一個方式,就是你問問自己說發生什麼事情,你晚上會睡不著覺,就是你最重要的點、要去保護好,例如像假設電商可能是客戶、交易的資料,出了事他大概睡不著覺。所以你去保護最重要的東西,其他有能力再去保護周邊,就會讓你知道說資源要放在哪裡。
風險控管與公司價值提升
每個企業都會有它的大客戶,或者想要去爭取的業務方向,但這些大客戶可能風險意識或對風險要求其實都一直逐年提升,當企業要跟這些大客戶做生意時,如果你對自己的要求,或是對風險管控沒有到達對方水平,你是沒有辦法爭取到業務。
實際案例就是說其實我有客戶,他自己就知道說,他要控管好資安、資訊安全相關風險,因為他要講得出怎麼去管理,當然花了一些資源來做,但是他拿著管理資安風險的成果爭取更大的業務,也就是說你換個角度,讓你的價值提升(Value-up ),那對你想要拓展的業務、想要爭取的客戶有正面幫助。
有蠻多美國上市貴公司的要求,它的外包所有廠商都是要配合內規,共同去完成風險控管的一些機制,臺灣也開始有這樣子的要求,就是供應鏈的安全或者資金安全、風險管理。
其實企業有很多的互動,可能這個東西外包、這邊請顧問,你有很多跟外部的單位,需要與利害關係人做互動,可是我們自己管好,利害關係人卻有個洞,結果還是出事,所以大家一起提升,不管你是供應鏈的一環,或者你是企業要求你的供應鏈,要一體、整體來看,這確實是目前在風險管理上的全球趨勢。
數位時代控管資安風險的心法
假設是稽核、系統化這件事情,我們回想一下以前稽核是怎麼做的,稽核可能就是擬定稽核計劃,按照 schedule 去執行,之後你就要回來寫底稿、把它記錄下來,可能最後有一個 report
但把這個流程變成系統化之後,要注意不是每年 routine 的都做這些事情,而是要回到評估說,我現在稽核的對象、環境,有沒有因為數位轉型而有所改變。
舉一個例子,以前在講 IT 就是講資訊安全的時候,我們都專注在 IT 這一面,我們現在不是都有在講智慧製造、工業4.0,我們會把生產線廠區的機臺連網,把它的資料抓出來、做大數據分析。在這個過程當中。以前是沒有連網、單獨在那裡運作的機臺,現在卻因為數據分析或是想要良率提升等需求連網,連網就容易誤入這些東西。
因此,資訊安全就從 IT 延伸到 OT,如果稽核計劃並沒有意識到這一點,我們還是 focus 在原來的 IT 環境,OT 資訊安全的這些風險怎麼評估,有沒有適當的控制措施;有沒有去評估控制措施的有效性,也就是說系統化的過程當中,應該是不能預設風險是不變的,因為你會轉變、流程會變、環境會變,尤其在數位化的時代一直在變,每年就要評估一下:「過去的方式有沒有需要調整?我有沒有新的風險點?」因為現在環境必須要 update 到稽核系統化裡面。
三面向來看系統化
如果稍微放大一點,就是說以系統化、不管是什麼樣的專案,或者企業要上系統化這個過程,通常我們會從三個面向來看這個事情。
數位時代控管資安風險的心法
第一個是管理面,系統化的專案目標、範圍、流程跟過去都一樣,只是套著系統化名字,其實意義不大,走同樣的路 、做同樣的事情,只是換個介面、披著一個皮的話,這是我們要去考慮的。
第二個面向是人員,人都是一個習慣的動物,我們習慣過去怎麼做、不喜歡改變,因為充滿了不確定性。尤其是更中高階的主管更不願意改變,我常講一個例子,之前有一個朋友在跨國通訊視訊軟體公司上班,你會想像資訊軟體團隊,應該是一直在推廣資訊軟體,所以應該軟體、功能很好,結果他說他們開會都要聚在一起面對面,因為主管說我喜歡面對面的溝通,如果主管不願意改變,或者說主管部門、高階主管不支持,在系統化的過程你都容易失敗。
第三個面向是系統面、功能面,因為系統化一定會跟原來功能,或者是其他的資料連結,那開發的不好、需求沒有談好,或者出現了很多問題,最後花更多的時間人力來去統籌,反而得不償失。所以管理面、人員、系統面是我們在看系統的時候,從風險管理上從這三個面向來探討。
企業內部如何準備資安控管
我想面臨這種緊急的事件,大概有幾個層次可以做。
第一個是我們面臨已知的事件要把它標準化、模組化,當員工或者是企業遇到事件時,知道怎麼做、減少在那裡摸索的時間,或者是資源的浪費。再來是因為每一個動作都模組化
去面對這些未知的事件或者緊急發生的事情,每一步可以慢慢的拼湊起來,把突然遇到風險做適當的降低或者是先應對。
第二個是我們可以透過內部、外部力量或者資源分享,現在都流行所謂的情資分享,假設有一間公司它遭受攻擊,或是有駭客利用了什麼漏洞,當我們知道時,最重要是我們也不要只認為是別人的事情;我幸好我沒事,而是我們就要知道說,如果發生在我這裡,我要怎麼處理、會不會沒有準備、我的洞有沒有先補好。因此,透過情資的交流要預先的去看,像例如金融業有F-ISAC,各個產業都有它的 ISAC。
現在很多用內部跟外部的資源交換來讓企業進步,這其實很重要的,企業裡面也有很多的部門、團隊,大家都可以交流的,因為在面對緊急事件上真的不要分彼此。
第三個是要去演練,假設我們定SOP、要真的落實,大家要知道有一些狀況是沒有想過的,或者我們看到了別人有這個狀況,我們就把它透過一些方式來演練讓大家來熟悉、預先準備好,而不是真的從來沒有發生過,然後突然發生大家都會慌。
顧問業的實務經驗分享
從管理制度角度來看,我們會希望員工或人員能力上有兩個很重要的點,一個叫做教育訓練,一個叫做認知的提升。
認知的提升是說我們可能定期把所發生的一些事件、風險事件,或是其他的
業界同業發生的東西透過宣導方式,讓大家瞭解原來跟我有關的,注意他會有保持認知、不會跟現實脫節,但可能譬如像半年或一年,會有一個教育訓練的方式,那就是有系統化、有組織的,有一個目標說我今天要提升什麼能力,透過這樣學習把過去這些定期的認知放在裡面,或者是用一些方式內化在員工能力裡。
這就是我們在提升人員因應緊急事情,因為我們要培養不會慌,如果發生一個沒有看過的事情,我們平常有教怎麼做,這樣的過程是我們在管理制度裡面還蠻重視的。
如何踏出第一步與三個著手點
不追求一步到位
數位轉型你一定要去試,而且技術變得很快,加上競爭對手也跑得很快,你很難去有一個很長遠的計劃,把事情都規劃好再慢慢去執行,這是做不到的、不切實際,所以我覺得可以追求一個小範圍的成功再擴大、延伸。就是先有嘗試,並一邊做、一邊調整,但不會影響到最主要的核心業務,如果成功就有一個模式慢慢擴大,影響到所有的公司流程。
三個著手點
第一個是找到最需要改進的因子,企業裡面到底是哪一塊最需要投入資源來做改變?數位化、技術的引進也好;是因為成本太高想要降低;還是說我要更了解我的客戶。
第二個著手點是達到目的,要用一些新的工具或科技,我的能力在哪裡?我有這樣的人嗎?我有這樣子的資源嗎?我們要比較開闊的心胸、去善用周遭的資源,也就是說你的夥伴,是不是可以請外部有經驗的顧問來帶你,不要去走冤枉路、快速達到目標。再來是我不要自己開發、可能就去跟新創公司合作,大家怎麼樣一起來創造火花。
第三個是從過程中有沒有找到未來,就是創新的盈利模式,這個就是一邊做一邊想好,因為營運模式並不是過去的流程把它數位化,而是透過投入新的資源、採用新的科技,是不是可以創造新的東西,通過這樣的過程知道我的痛點、設定了我的目標,也才知道說如何去評估,當初投入有沒有跟我的目標離得越來越近,還是越來越遠、完全沒有關係。
風險控管的內化與效率精進
我覺得以 PwC 而言,我們也非常在乎數位化或者轉型,所以我們鼓勵大家或所有員工,如果你有一些idea,可以讓流程更有效率;可以提高客戶的價值,或者反正你有想法,但你不一定有能力,我們會有委員會committee的方式,把各種不同的function的人聚集,大家來評估idea想法是不是有可行性;是不是有開發的價值,從各個面向去評估,如果可行的話,就會指派適當資源把想法落實,就好像有一個應變小組的概念,當大家有這種功能、需求的時候,大家就來做一個評估。
我們鼓勵想法在組織裡面去發芽,其實我也看到很多其他的企業,大家也許方式不同但都是擁抱這個轉變。我想現在就是唯一不變的,就是我們不斷的在變,通過評估把資源放在更有機會的想法上,大家都想要往思維轉型這條路走。
給數位時代年輕管理者的建議
我一直都是做風險管理的,從顧問的角度做風險管理,所以我覺得有幾個可以跟大家分享。
第一個是我們永遠不會覺得風險不變,或者是我已經知道了這一些就是涵蓋全部,因為環境在變、技術在變、流程在變,你會帶來不同的風險,或者是帶來不同的挑戰。我們一直保持這個心態,就是說一定會有東西不一樣,就算同樣的客戶、範圍,還是要思考有沒有不一樣的東西,抱著一個永遠學習的心。
新創公司有很新的idea、新技術,可能我們過去想的不一定都還適用,透過交流的過程,我覺得雙方都成長,我還蠻喜歡這樣子的一個過程,因為不斷在學習新的東西,如果過去有價值可以帶給我的客戶,在討論過程當中我自己也學到一些東西,這是做這麼久之後,我覺得在裡面是自我實現,還有當真的解決問題的時候,客戶對我的感謝或者一句話都非常重要。
我相信數位時代其實有真的非常多新知識,如果我們不去跟上這個時代很快就被淘汰了,以前我們念的資訊環境可能是自己公司、自己的機房,然後自己管理,現在都轉換到雲端,你可能用的是服務、不是背後的管理,難道這樣就都沒有風險嗎?所以轉換是一直都在的,不知道未來會變成什麼,但我們要不斷去接受,我覺得還蠻有趣、有挑戰的。
▎數位101-技術管理新思維 企劃介紹 ▎
數位管理者101 是 fable X TGONetworks 2021合作開啟的新企畫,有鑑於網路上數位技術管理的相關知識較少或難以搜尋,於是我們發願邀請101位數位管理者,來跟大家分享數位時代的管理新思維,除了IT技術上的系統導入及資料數位化之外,讓技術部門與各部門能夠有效率的溝通協調,更是目前許多企業正在面臨數位轉型的一大挑戰。希望可以透過這個企劃蒐集台灣數位管理者的實務經驗。
人永遠是數位轉型的最大關鍵,不只有管理者需要具備多元的思維,就連行銷、工程師、甚至第一線業務人員,都需要對於整個數位時代有一定程度的理解。
▎TGONetworks介紹 ▎
TGONetworks致力於建構全球優秀技術背景人才的學習成長平台,並輸出更多科技領袖。在台串聯了近30位的技術領導者,全球擁有870多位科技領袖與公司負責人。在TGONetworks,我們相信,在高階技術管理者的交流,能夠讓每位管理者的視野更上一層,雖然我們人在台灣,透過TGO的資料可以放眼全世界,向世界取經,並且在台灣的活動中互相砥礪成長,透過這些小小的努力,能讓台灣在數位時代的技術管理更上一層樓。