資安長們目前面臨領導決策、培養企業業務思維、風險管理以及技術應用管理等4項挑戰,得先意識到自己是管理職而非技術職,才能開始解決這些痛點
KLC Consulting顧問公司總裁暨資安長賴弘偉表示,資安長應培訓自己的團隊,讓成員不要經常對業務單位說不,否則久而久之,業務單位會繞過資安團隊,讓資安工作更難落實。
在KLC Consulting顧問公司擔任總裁暨資安長的賴弘偉(Kyle Lai)擁有25年資安工作經驗,不只在美國國防部和微軟、Zoom、波音、PwC等大型企業擔任資安顧問,也累積不少與財富500強企業資安長的交流經驗。他日前在臺灣資安大會上點出,資安長們目前面臨4大挑戰,包括領導決策、培養業務思維、風險管理,以及技術應用管理。
資安長的挑戰
進入主題前,賴弘偉先是秀出一份2024年資安現況報告,該報告由美國資安公司Splunk發布,統計近2年企業最常遭受的資安事件,像是資料外洩(52%)、電子郵件詐騙(49%)、勒索軟體(48%)和DDoS攻擊(46%)。
「這份清單非常有用,」他表示,不只列出10多項常見的資安事件,也顯示資安長們的工作重心—防範這些資安事件。當然,資安長的任務不只這些,還包括其他形形色色的工作內容,如事件回應、建置零信任架構、法遵法規遵從、滲透測試、第三方風險管理等林林總總數十項。其中,賴弘偉認為,資安長工作中所面臨的最大挑戰是領導決策、培養企業業務思維、風險管理,以及技術應用管理。
挑戰與建議1:領導決策
就第一個挑戰來說,「資安長是個企業管理職位,而非技術職位,因此資安長必須與董事會立場一致。」賴弘偉表示,資安長首先要理解公司的營運方式,也就是公司如何賺錢、靠哪些產品或服務獲利,以及公司有哪些客戶、如何與客戶溝通,此外也得掌握供應商資訊,如公司如何與供應商溝通等。「對公司業務有了基本理解,就能建立符合業務需求的安全流程,」他說。
再來,資安長必須要與公司內部關鍵的管理人員,建立強健的關係和信任,比如法律顧問、人資部門、財務長等。尤其資安長想推動資安意識培養或新政策時,人資就能協助傳遞這些訊息,而財務長則能協助批准預算,甚至能提供資安長更多公司營運的資訊。另外,與關鍵業務部門的負責人建立關係也很重要,因為,當他們想引進新技術時,資安團隊就能在第一時間給予協助。賴弘偉也表示,資安長也要培訓自己的團隊,讓成員不要經常對業務單位說不,否則「久而久之,業務單位會繞過資安團隊,讓你的工作更難執行。」
還有一種方法是建立前後輩指導資源,可細分為2種形式。一種是針對資安長們,如透過資安長社群資源,藉同儕交流來得到新狀況的解方;另一種是對資安團隊成員,提供指導資源,來讓團隊與時俱進成長。
最後一種方法是建立資安和學習文化。賴弘偉以自己為例,他在輔導美國國防部時,必須讓7名成員在90天內考取特定的資安認證,否則就會被辭退。為實現這一點,他們抽出周末來讀書、學習,最終在期限內達標,團隊的學習文化也因此建立了起來。
挑戰與建議2:培養業務思維
資安長面臨的第2大挑戰是商業頭腦,也就是培養企業業務思維。賴弘偉給出3個建議,首先是了解財務知識,尤其資安長是企業管理職,若參與董事會會議,就得花時間討論公司業務與財務,因此得先了解財務知識如損益表、資產負債表等。另一個建議是與業務單位討論時,不要使用技術詞彙,尤其是在會議中,資安長只有幾分鐘能表達,因此應開門見山、進入正題,並以白話方式與溝通。最後一個建議是認清目前的狀態與期望目標,並規畫實現方法。
挑戰與建議3:風險管理
風險管理是資安長的另一大挑戰。賴弘偉點出,資安長可從理解法規、建立資安框架和風險註記機制、制定詳細的事件回應計畫,以及供應鏈風險管理等4點來因應。
就理解法規來說,資安長得與法遵部門聯手,來找出影響網路安全的規範。就建立資安框架而言,資安長可推動取得ISO 27001認證並遵循該方法,但若資安長任職的企業屬嚴格監管產業,則建議使用美國NIST CSF網路安全框架。因為該框架基於成熟度來劃分,且具備適當的信心結構,如此,資安長與高階管理層溝通時,就能使用該框架。
至於事件回應計畫,則得涵蓋軟體、勒索軟體和供應鏈等類別,比如遭受勒索軟體攻擊時,由誰來決定支付贖金、支付與否的政策為何、最終由誰支付等回應計畫。最後,資安長得認識公司的供應商,「至少要了解保密性,比如公司與供應商交換哪些類型的資訊,以及可用性,比如供應商停工一周,公司能否承受此舉帶來的損失等問題。」賴弘偉表示,資安長可依此找出對企業至關重要的供應商,並派人去了解供應商的資安狀況,落實監管與合規。
挑戰與建議4:技術應用管理
對資安長來說,還有一項技術採用管理的挑戰。面對這個挑戰,資安長可密切關注新技術發展,比如近年興盛的生成式AI,再來是與業務和IT團隊緊密合作,尤其企業業務團隊一定會儘早嘗試這些新技術,因此資安長得在業務團隊嘗試之初,就加入業務與IT團隊的討論,及早辨識風險和漏洞。賴弘偉表示,若資安長在業務和IT團隊引入新技術後才參與,就很難確定風險、失去與開發該技術的供應商的談判優勢。
最後,他建議,資安長可與供應商討論新工具,來因應新風險。甚至和資安創投交換意見也會有幫助,「因為他們對新創公司投資,勢必研究過特定領域和解決方案,」這些資訊能幫助資安長更理解一家供應商及其提出的解方。
除了上述4大挑戰和建議,賴弘偉最後也補充,對資安長角色的監管法規將會出現,資安長也該向公司要求承保董監事及重要職員責任保險(D&O)來保護自己,如此就不必為每個決策過度提心吊膽。
