【資安周報第43期】零信任的環境下，臺灣企業設立資安長有其必要性

在今年九月，美國總統歐巴馬在他即將卸任之際，還是把從今年二月開始對招聘的聯邦資安長人選，在懸缺7個月後，正式任命已退休的美國准將Gregory Touhill擔任首位聯邦資訊安全長（Federal Chief Information Security Officer，CISO），負責推動美國聯邦政府的網路安全政策、規畫及導入。

除了美國政府之外，行政院資安處正在草擬的資安管理法中，也直接明定，要求公務機關應該要設置資通安全長，並且由機關首長指派副首長或適當人選兼任，負責推動及監督機關內資通安全相關工作與事項。

而這樣的指派其實只是延續「行政院國家資訊通信發展推動小組設置要點」（NICI）總召集人就是政院資訊長，可由院長指派適當人選擔任，目前行政院資訊長角色則是由政務委員吳政忠兼任，但是因為NICI的任務到今年底就要結束，為了延續這樣制度，便在資安管理法的草案中，看出承先啟後的意味。

明定公務機關要設置資安長的角色，但是非公務機關卻沒有強迫，行政院資安處處長簡宏偉表示，指定副首長是希望透過副首長的高度來推動資安，避免資訊單位難以推動跨單位的協調；而非公務機關雖然沒有強迫，但相關單位可以是需要自行設置，只要可以達成相關的資安防護措施就好了。

但是，面對詭譎多變得資安威脅，非公務機關沒有設置資安長，真的好嗎？政府為了減少非公務機關對於資安管理法的抗拒，在某些條文也沒有刻意強迫業者配合。

只不過，在現在這個零信任（Zero Trust）的環境中，如果非公務機關也能有資安長的設置，這也意味著，該機關已經將資安視為公司營運風險的一環，透過資安長參與相關營運目標和資安政策、作為的討論和制定，更能確保該公司已經接受資安政策和作為的落實與否，甚至可能影響公司營運甚至危及公司生存的現實。

設置資安長成為企業重視資安與否的表徵之一

資安長在10年前，還只是一些美國上千人以上的大型企業或跨國企業，才有配置的專業人才，例如金融、電信、運輸、高科技和政府等。但是，到現在，因為網路犯罪的橫行，資安不僅備受重視，設置資安長的企業也變多且多元了。

以IBM在2016年的CISO調查報告中就有預估，網路犯罪對於全球經濟造成3,750億美元～5,750億美元的經濟損失，實際金額雖然難以準確估算，但是，以目前來看，所有的產業都很難置外於資安風險的危害。

也因為資安的風險越來越高，有越來越多企業也開始設置安全長（CSO）或者是資安長（CISO），重點在於落實安全與風險管理，以延續企業的正常營運，避免可能的財務損失、風險危害，甚至是更嚴重的國安風險等等。

不過，企業在設置安全長或者是資訊安全長，甚至是包辦公司整體營運風險的風險長（CRO）時，如果這幾個角色是公司獨立的高階主管，甚至是提升到必須參與董事會的運作時，這些角色往往具有更高的實際權力。

但是，如果這些角色並不具有如此高的影響力時，更多時候，不論是安全長或者是資訊安全長等，甚至可能只是財務部門、稽核部門，甚至是IT部門其中的一個組織分工角色時，要真正發揮到應該有的風險控管角色，往往在實務運作上，會有極大的落差。

若引述IBM在2016年發表的CISO報告也可以發現，從 2006年以來，設立 CISO的組織數量已經呈穩定成長，每年約成長10％；在2006年有22%的組織回報已設置CISO，到了2011年則上升了8%。在此份調查報告的所有受訪者中，更平均有71%的受訪者指出其組織設置有CISO。

從這樣的趨勢也可以發現，因為各種資安和網路風險的複雜和威脅升高，傳統的資訊長（CIO）已經沒有能力處理這類的安全議題，才讓資訊安全長或者是安全長、風險長的角色，越來越關鍵，這甚至也成為一種企業是否重視資安的表徵。

舉例而言，2011年索尼（Sony）公司包括Play Station Network、Qriocity音樂隨選服務，及線上遊戲子公司網站Sony Online Entertainment，都遭到駭客入侵，外洩資料總計超過1億筆，這起當年最嚴重的資安事件發生後，也迫使索尼公司必須要設立一個資訊安全長善後。

但是，不論是設立安全長或是資安長，因為要協助企業解決從實體安全、人的安全、系統安全甚至是業務安全的議題，通常必須具備十八般武藝，像是IT、資安、稽核、法律、財務和管理等等，其中，IT技術是資訊安全的基礎，而對於「安全」的觀念，才是企業安全的本質。

資安長或安全長的權力，往往來自組織內的位階，或者是來自高階管理階層甚至是董事會的授權，因此，有些公司中的資安長可能是獨立的角色，有些則是隸屬於某些部門主管之下的角色（例如資訊部門、稽核部門甚至是風險部門等等）。

但是，要發揮資安長價值的真正關鍵在於，「資安長是否具有獨立決策的能力和權力」，也就是說，如果企業內不論是資安管理和法規遵循的決策，資安長都具有實質的決策權力時，這就是一個有權力的資安長，企業才是真正把資安視為企業營運重要環節之一。

資安長與資訊長角色衝突，執行長需具備資安高度

對於資訊長而言，提升效率、降低成本，都是利用IT科技可以快速看到的效益，但是，對於資安長而言，為了安全可能要犧牲效率、增加成本，甚至於，就算持續投資在資安領域，資安長也很難像資訊長一樣，可以衡量出有多好的投資報酬率，因為，資安的投資往往是水深不見底的長期投資，一旦有資安事件的發生，都可能是來自一個不小心的忽略造成的後遺症。畢竟，資安的投資成果就如果水桶理論一般，水桶的容量是取決於水桶最短的木板長度一樣，稍一不慎，甚至可能前功盡棄。

也因此，面對角色職能衝突的資訊長和資安長，對企業營運成敗必須付全責的執行長（CEO），就必須具備資安的高度，可以從資安長的風險評估中，釐清該風險對企業帶來的影響程度。

往往，執行長對資安的支持程度，將取決於資安長是否有能力，可以將風險對企業營運帶來的影響範圍和程度講清楚、說明白。「如果資安長沒有說明資安風險帶來的影響和範圍的能力時，這就是一個不稱職的資安長。」

當然，不是所以的執行長都可以具有企業資安意識，甚至具備資安高度，但是，如何迫使企業的執行長們，不要因為短視近利，選擇犧牲短期的資安投資，卻換來長期資安風險大增呢？

這其實可以參考英國國會在今年6月曾經發表的「資訊安全：個人資料與線上內容保護」報告，其中就提到，英國政府對於屢屢遭受資安攻擊卻遲遲沒有任何改善的企業，除了開罰最高的罰金之外，也建議，應該要把企業執行長的薪資獎金的KPI之一，與企業的資安防護能力好壞做連結，唯有如此，執行長才真正會把資安這件事情放在心上。

設置資安長的確是一種企業落實資安治理的展現，但是，不論資安長這樣的角色是獨立的，或者是隸屬於某個單位下面，更重要的關鍵在於，企業內部一定要有專門的資安負責人，才是真正落實當責機制；另外，也必須有能力落實風險評鑑（RA）和商業衝擊分析（BIA），找出企業內的脆弱環節並加以保護；並且彙整既有的各種防護機制，制定出一套符合該企業文化和作業流程的資安防護SOP，這就是稱職資安長應該具備的能力。
 

上週重要資安新聞（9/25～10/01）：

※D-Link DWR-932 B遭爆有約20個安全漏洞，研究人員：別用了

※Google釋出兩項CSP安全工具以防範XSS攻擊

※臉書釋出支援Windows 10的osquery安全工具

※蘋果會紀錄iMessage用戶通訊時間及對象

※資安業者：Yahoo資料外洩可能不是國家級駭客作的

※史諾登愛用的iOS安全傳訊程式Signal開始支援桌面了

※沃通與StartCom憑證信用破產，遭Mozilla自信賴名單中剔除

※IDC：UTM帶動需求，第2季資安設備出貨成長15.2%

※OpenSSL緊急修補9月下旬更新所衍生的新漏洞

※Yahoo疑7月就知被駭，美參議員要求證管會調查

※SWIFT：鎖定金融業的網路攻擊增多，光今年夏天就有3起

※iOS 10遭爆安全機制變弱，備份時密碼更容易被破解

※史上最大DDoS攻擊來襲，逾14萬台網路攝影機帶來近1Tbps的巨量攻擊

※資安處預計10月中將資安管理法提報政院，最晚11月送立院審查

※動作好快！Yahoo資料外洩已有用戶提集體訴訟，Verizon收購案生變？