如何當一位合格的資安長，是近年許多高階主管面臨的挑戰。永豐銀行資訊安全處副總經理高大宇分享第一手經驗，點出資安長識人術、4大必備技能，以及資安長落實企業資安的實務建議，像是如何強化資安3道防線、調查網路犯罪的3大黃金守則。

盤點資安長職涯輪廓，不同專業背景的CISO開始出現

高大宇的身分很特別，他當過20年網路犯罪警察，專攻資安駭客調查，後來在警察大學任教7年半，因緣際會進入金融業擔任資安主管，掌管資安事宜。他也是臺灣資安主管聯盟副會長，協助推動各產業和金融業資安交流，來提高整體資安防護能力。

資安長（CISO）是這幾年興起的職位，但許多企業仍在探索資安長職涯發展和技能。高大宇引用國際調研機構海德思哲（Heidrick & Struggles）的《2022年全球資安長調查》報告，他們訪問全球327名資安長，盤點出資安長職涯軌跡，發現金融業CISO通常具備金融服務和技術行業的近期經驗，且多半來自IT、軟體工程背景。有趣的是，具其他專業背景的CISO也不斷湧現。

報告也指出，超過半數的CISO填答者，是從一家企業的CISO再到另一家擔任CISO角色，退休後就轉任董事。這意味著，在不同企業間擔任資安主管，是多數CISO的職涯發展路徑。

這份報告還歸納出CISO日常的3大工作重心，包括落實組織的安全設計（Security by design），也就是將資安原則嵌入業務流程和核心軟體的開發，在程式設計的邏輯中納入資安機制，在源頭就做好資安把關。

另一個重心是匯報關係，特別是金融業，不只要向上級匯報，也要向稽法風等單位報告，甚至是其他組織，如全體董事會或其它委員會。高大宇舉例，尤其是新聞事件發生或新技術出現時，如ChatGPT、雲端，CISO就得向不同單位匯報狀況、潛在風險和應對策略，這是資安長的重要工作之一。

CISO還有個工作重心，也就是識才、選才、育才、用才和留才，並增加投資來招募一流人才、儲備力量，來因應不斷擴大的團隊規模。簡單來說，建立和維持優質的團隊，也是CISO每一天的重要工作。高大宇以從這三大工作重心來分享他的資安長經驗。

資安長要會識人，也要建立良好的工作環境

首先，資安長得具備挑選人才的眼光。但，好人才要有哪些特質？

高大宇指出，好人才要反應快、能舉一反三且思考周延，還要能因應困境，更要誠信、可靠、有紀律，能讓人信任，並要擁有工程師的技術和生意人的頭腦。此外，好人才也要能尊重他人，要有良好的情緒管理能力，願意傾聽、釋出善意，並傳遞正能量。

除了要有識人眼光，資安長也得塑造良好的工作環境，來留住人才。高大宇坦言，通常好員工離開一家公司，並非離開工作，而是離開主管和老闆。根本原因不外乎是主管不在乎員工、無法實現承諾，或是雇用、升職了不對的人。為避免人才離開，他提醒，主管得留意員工感受和自己開出的承諾，並雇用合適的人才。

而好員工可能不好相處，但他們擁有才能而有很多就職選擇。如何留才，得靠主管接納員工創意、賦予員工挑戰，以及認清員工的貢獻並給予獎勵。不只如此，主管還得讓好員工願意為公司工作，得引導員工追尋熱情、發展員工技能，避免員工工作負荷過重。

高大宇分析，在執行資安工作上，資安長還要做到4件事，才能與團隊落實資安策略。一是默默吸引合適的人才、形成團隊，二是洞悉人性，對公司基層人員到上級長官都能寒暄、保持友好關係。再來，資安長還要隱藏智慧，要能聽取意見、謙虛接受不同看法。最重要的是，資安長要給予下屬犯錯的機會，做到「有錯一肩扛、有功不霸占，」鼓勵團隊成員發揮所長。

資安長必備4大技能

這樣還不夠，高大宇進一步點出，資安長還得有4大必備技能。因為，面對新興科技日益複雜的現況，有許多程式變動的風險，第一線資安人員常面臨過多警報，導致對告警疲勞，而資安長的究責需求也日益重要。

高大宇指出，此時資安長要有清楚的理念、設立清楚的目標，尤其是金融機構講求安全、便利、不中斷，執行計畫時也講究如期、如質、如預算，「要有明確理念目標，才能定位問題和發展方向」，這是資安長必須具備的第1項技能。

再來，資安長要擅長溝通，特別是要有說故事般的溝通技巧，把生硬的資安知識、數字和代號等轉為白話，來與上級溝通，更有效率解釋問題。這項技能，仰賴資安長的資安知識廣度，以及尋找問題、面對問題的能力。

第三，資安長得有領導執行力，比如，團隊面對爆增的駭客即服務威脅，資安長以零信任為核心來推動資安任務時，要避免成為負面焦點，也要熱情跨域協調，而且要承擔決策責任，讓下屬安心執行任務。最後，資安長還要具備「內外部性格」，得兼具社交韌性的外向影響力，以及認真盡責的內部執行力。（如下圖）

用三道防線把關內部安全

資安長不只要有軟實力，實務上則要有硬實力。高大宇分享，落實企業資安有三道防線，第一道是內部控制、管理控制，也就是業務單位根據指標，來自行查核、衡量風險，發揮最大預防效益。這裡的自行查核是指，根據過往辦理法規和更新的法令修正辦法，來了解內部控制的有效性。這道防線直接面對分散在不同單位的風險人員，資安長得要規畫提升人員的內部控制意識和判斷能力，比如業務單位要開放例外需求時，資安長可提醒潛在風險。

第二道防線比較複雜，需要法遵、風管、資安和防治洗錢等單位聯手把關資安風險，這就得靠跨域協調，來達到事先防範效果。由於涉及單位多，高大宇建議擁抱KISS原則，將複雜事務簡化，讓各單位容易理解，來促進溝通合作。第三道防線則是透過內部獨立監督的稽核單位把關資安，得靠協調合作來取代究責、衝突。（如下圖）

從數位鑑識角度思考資安事件應變方式

擔任資安長一定會遇到資安事件，事件發生時，有不同面向的應變和處理程序。高大宇從企業角度和數位鑑識角度分析，以企業而言，資安措施大多遵照美國NIST提出的CSF資安框架來規畫，先做好辨識（Identify）、保護（Protect）、防禦（Defense），接著才是事件發生時應變（Respond）和復原（Recover）。

然而，數位鑑識意味著要走法院程序，因此，第一步該做的反而是計畫（Plan）和準備（Prepare），並採用數位鑑識工具來收集、分析證據，接著才是應變、辨識，以及法律意義上的收集、保存證據，並做成報告，進行法院鑑識。（如下圖）

高大宇提醒，發生資安事件後，不論企業是否交由公部門調查，在執行企業私部門調查時，還是得以「最終會上法院」的原則來進行調查，這樣才會要求自己遵守嚴格的調查程序，同時還能保障企業內部的私有資產。

他更引用國際知名的資安教戰手冊《Cyber Crime and Cyber Terrorism Investigator's Handbook》，建議資安長處理網路犯罪調查時，可參考3條黃金守則，包括不預設任何立場、不相信任何事物，以及質疑並檢視所有事物，如此才能透過證據，推導出正確的結論。

不只有實務守則，資安長接下來該注意的資安趨勢也很重要。國際知名資安專家Rafeeq Rehman發表《CISO MindMap 2023》，羅列了今、明兩年的資安趨勢發展，高大宇點出其中6點，包括CISO要更注重韌性、減少並整合資安工具、打造資安團隊的品牌形象、拆解網頁應用程式元件，甚至也要強化新興科技的專業知識，並建立資安自動化角色，也就是利用資安工具，來協助CISO處理資安任務。掌握這些趨勢，才能提高企業資安應變能力。

 相關報導