經理人觀點:金管會資安法上路,未來資安長要如何有效組織資安戰力軍?

資安長的任務簡而言之便是「向上爭取資源,向下落實政策,向外集結武器,統合有利戰友」。資安技術革新快速,企業自給自足不符合成本效益。資安長須妥善分配力量,向外集結有利援軍,讓內部資安單位專注於業務核心目標。
 
2021年12月,金管會正式發布新版「公開發行公司建立內部控制制度處理準則」,擴大要求上市櫃公司須編列資安專責單位,並設置資安長(CISO/CSO)。根據公司的規模和產業別將劃分為三個等級,第一級公司須於2022年底完成設置資安長與資安專責單位;第二級公司則須再2023年底前設置資安專責單位;第三級則是鼓勵設置至少一名資安專人員。

考量大型或從事電子商務之上市櫃公司之資安防護日益受重視,金管會修正規範其應配置適當資訊安全人力及設備
考量大型或從事電子商務之上市櫃公司之資安防護日益受重視,金管會修正規範其應配置適當資訊安全人力及設備。資料來源:金管會

國內企業一向缺乏重視資訊安全的風氣,僅少數產業如金融業、醫療院所等八大CI領域,以及大型公立機關有編列資安專責單位,資安在企業端往往淪為高空口號而缺乏實際的資源投入。隨著資安議題日益嚴峻,災情可能擴及產業經濟、消費者權益,甚至公共安全,各產業該正視問題且盡速布局中長期資安管理策略。

資安長甫上任將直面三大內部挑戰

行政院資安處曾發表「3X3X3國家級資安戰略」,指出人力資源、產業資源和科研資源的三大跨域整合將是首要之務。資安長作為企業的戰略指揮官,也必須具備宏觀視野洞悉企業的資安挑戰。

一、資安單位與其他部門的矛盾立場

使用者追求的是作業方便,資安人員卻處處設限。方便性與安全性並非完全對立,只是多數企業在「資訊」和「資安」分野初期很難取得平衡,若將兩者職能明確切分開來,彼此相互制衡卻又相輔相成的關係更加清楚。CIO 和 IT 人員的任務是讓資訊系統運作更有效率,以維繫企業營運順暢,通常被賦予提升資訊效能與產值的權責;而資安人員的角色則是安全監察官,從資訊架構、內部流程管理、稽核與控制系統、機敏資料管理等層面,抓出潛在風險。

舉例來說,為了避免員工在公司電腦瀏覽網頁時誤觸惡意網站或釣魚連結,許多公司會在內網寫規則限制連線導向,而這對員工來說便是為了「安全性凌駕方便性」的管理政策。要如何取得資訊、資安和其他角色之間的平衡點,考驗管理者智慧。

二、資安專業領域找人才、養人才皆不容易

資安沒有疆域,除了要從資訊技術方面奠定強健基礎架構,布置資安監控系統;更要結合管理層面,優化權限控管、更新稽核辦法,擬定事故應變流程(IR)及營運持續計畫(BCP)。正因為沒有任何一個解決方案或是產品可以單獨處理資安問題,資安人才的專業技術、經驗判斷、資源調度和風險洞察能力才是關鍵,沒有足夠優秀的資安維運與應變團隊,事故發生也無人能解。

近年來資安市場愈趨蓬勃,與資安人才的短缺形成矛盾,加上法規上路,各行各業都在搶人才,也讓企業與教育單位開始投入培育訓練,漫漫長路難以趕上人才硬需。現觀察到的多數狀況是,台灣在資安人力市場的薪資水平有待加強,就算企業開出高薪,也很難聘的到擁有跨領域且有資歷的資訊人員,更何況還要擁有資安事件應變的相關經驗。

三、資安產品功能多樣,解決問題才是要務

你買的是解決方案還是「安心感」?某次參與駭客攻擊救災專案,客戶反映已經有其他資安廠商安裝了高階防火牆,我們檢查後才發現防火牆根本沒調校規則,等於在大門安裝高級的鎖,卻沒上鎖,門戶洞開。

很多的CISO和資安人員不是IT技術背景,小心落入產品導向的陷阱,或是陷入資安就是砸大錢的迷思。資訊安全的核心在於「解決問題」,也就是說「服務」比「產品」更為關鍵,駭客的攻擊行為不斷在進化,每個產業也有不同的業態與規模,沒有任何一套軟硬體可以單獨處理問題,甚至有客戶反映,有的軟體即便找出攻擊來源了,怎麼修復?怎麼補強?IT根本沒有頭緒。

市面上多數供應商還是有專業領域(Domain)的區別,上述案例中,資安廠商有可能不熟悉IT基礎環境(Infrastructure),只熟悉自家產品,硬著頭皮救災反而愈弄愈糟。有的供應商及SI沒有資安經驗,卻為了銷售而虛報技術能力,在基礎環境設定上就留下攻擊缺口。資安長必須慎選供應商和產品組合,藉由概念驗證(PoC)多重評估,跳脫產品功能,看到服務綜效

你的資安長準備好了嗎?

總結來說,資安長的具體任務就是「向上爭取資源,向下落實政策,向外集結武器,統合有利戰友」。資安技術革新快速,企業自給自足不符合成本效益。資安長須採戰略性思考(Strategic Thinking),妥善向外集結有利援軍,讓內部資安單位專注於業務核心目標。
經理人觀點:金管會資安法上路,未來資安長要如何有效組織資安戰力軍?

資安技術革新快速,企業自給自足不符合成本效益。資安長須妥善分配力量,向外集結有利援軍,讓內部資安單位專注於業務核心目標。資料來源:俞伯翰

企業管理者經常將資安視為成本花費,因為只要沒有出事便「看不到」產值和效益,也影響組織在編列預算的優先順序,以及優化資安架購的決心。資安長必須帶領團隊實現風險管理、品牌聲譽及法遵需求三大目標,首先必須讓上級認同資安在數位時代是有積極意義的投資發展項目。

此外,資安長是涵蓋政策面和技術面的工作,因此跨部門溝通十分重要。除了要時刻走在資訊科技前緣,將最新的概念和技術應用到組織情境,更要由上而下(Top-down)帶動改革風氣,才能將公司治理政策落實到底層。我們經常說,再厲害的防盜系統都擋不住有人主動開門讓小偷進來!比起預算投入,透過教育訓練普及員工資安意識,擬定合理的資訊使用規範,更為長久之計。

資訊安全的技術發展正朝著自動化、智慧化工具邁進,期待未來能大幅降低人為反應的時間差和判讀的誤差,就現階段而言,企業內部是很難自行學習、吸收並應用這麼多樣的資安技術,再加上很難評估總成本的投入和投資效益,委由專業的資安團隊託管不失為增加管理彈性的解方。資安長必須集結「武器」和「戰友」,在即將到來的大資安時代打出一場漂亮的數位戰。

CIO IT經理人專訪👉 自由系統解救受駭問題 推出客製資安託管服務