宣導還是強制？

過去幾年接觸到的工作都是awareness重要，都是training重要，不過最近一年國外的一些資安演講，提出了一個概念就是「不要教育使用者，而是強制(enforce)他們」，理由是緩不濟急，且難以驗證成效。

這樣的論點我同意一半，而且非常同意理由。我認為不是教育使用者不重要而不去做，而是應該投注更多心力在強制資安政策的執行，而在資源有限的情況下，推動強制落實會比教育、認知宣導更為優先。

這點在國內環境似乎並不容易執行，可是，我們不知不覺間其實有在做：我們會教育使用者小心開啟附檔名是.pif的檔案，還是乾脆幫他裝上一套有效的防毒軟體？我們會教育使用者小心不明人士進入機房，還是乾脆刷卡密碼掌型指紋靜脈門禁管制？

沒有強制力，資安都是玩假的；就像幾年前很紅的「執行力」一樣，沒有執行力，什麼願景政策都是畫虎爛。

這點在政府機關尤其重要，很多人都以為政府機關很牛，推不動，錯了！只要你的資安規範寫的是「可以」、「應該」，那很多單位能不動就不動，能少做一點是一點，可是一旦寫的是「必須」、「不得」、「不可」，他們就算幹聲不絕還是會照做的，只是這點，又有多少做政府案子的資安顧問瞭解？

強制力不是蠻幹硬推，而是別交給人做，只要是由「人」來執行的工作，就有怠惰疏忽忘記錯誤造假竄改的問題，能自動化就自動化，能電腦做就電腦做，門禁系統不會怠惰，CCTV不會疏忽，防毒軟體不會忘記，系統稽核不會造假，System Log不會竄改，電子表單不會掉單吃案，系統管理員當然還是有機會上下其手，可是這在某程度上是只能盡力抑制而無法避免的風險，屬於「人」的風險。

至於Budget哪來？這部分就是另外一個問題了，例如如何有效連結到企業經營的核心價值，如何說老闆聽得懂的語言，如何爭取預算，如何管理並展現績效等，有機會再來談這部份。