美國聯邦資訊長委員會在推特宣布,將由退休的美國准將Gregory Touhill,擔任第一位美國聯邦資安長角色。

圖片來源: 

美國聯邦資訊長委員會

在今年九月,美國總統歐巴馬在他即將卸任之際,還是把從今年二月開始對招聘的聯邦資安長人選,在懸缺7個月後,正式任命已退休的美國准將Gregory Touhill擔任首位聯邦資訊安全長(Federal Chief Information Security Officer,CISO),負責推動美國聯邦政府的網路安全政策、規畫及導入。

除了美國政府之外,行政院資安處正在草擬的資安管理法中,也直接明定,要求公務機關應該要設置資通安全長,並且由機關首長指派副首長或適當人選兼任,負責推動及監督機關內資通安全相關工作與事項。

而這樣的指派其實只是延續「行政院國家資訊通信發展推動小組設置要點」(NICI)總召集人就是政院資訊長,可由院長指派適當人選擔任,目前行政院資訊長角色則是由政務委員吳政忠兼任,但是因為NICI的任務到今年底就要結束,為了延續這樣制度,便在資安管理法的草案中,看出承先啟後的意味。

明定公務機關要設置資安長的角色,但是非公務機關卻沒有強迫,行政院資安處處長簡宏偉表示,指定副首長是希望透過副首長的高度來推動資安,避免資訊單位難以推動跨單位的協調;而非公務機關雖然沒有強迫,但相關單位可以是需要自行設置,只要可以達成相關的資安防護措施就好了。

但是,面對詭譎多變得資安威脅,非公務機關沒有設置資安長,真的好嗎?政府為了減少非公務機關對於資安管理法的抗拒,在某些條文也沒有刻意強迫業者配合。

只不過,在現在這個零信任(Zero Trust)的環境中,如果非公務機關也能有資安長的設置,這也意味著,該機關已經將資安視為公司營運風險的一環,透過資安長參與相關營運目標和資安政策、作為的討論和制定,更能確保該公司已經接受資安政策和作為的落實與否,甚至可能影響公司營運甚至危及公司生存的現實。

設置資安長成為企業重視資安與否的表徵之一

資安長在10年前,還只是一些美國上千人以上的大型企業或跨國企業,才有配置的專業人才,例如金融、電信、運輸、高科技和政府等。但是,到現在,因為網路犯罪的橫行,資安不僅備受重視,設置資安長的企業也變多且多元了。

以IBM在2016年的CISO調查報告中就有預估,網路犯罪對於全球經濟造成3,750億美元~5,750億美元的經濟損失,實際金額雖然難以準確估算,但是,以目前來看,所有的產業都很難置外於資安風險的危害。

也因為資安的風險越來越高,有越來越多企業也開始設置安全長(CSO)或者是資安長(CISO),重點在於落實安全與風險管理,以延續企業的正常營運,避免可能的財務損失、風險危害,甚至是更嚴重的國安風險等等。

不過,企業在設置安全長或者是資訊安全長,甚至是包辦公司整體營運風險的風險長(CRO)時,如果這幾個角色是公司獨立的高階主管,甚至是提升到必須參與董事會的運作時,這些角色往往具有更高的實際權力。

但是,如果這些角色並不具有如此高的影響力時,更多時候,不論是安全長或者是資訊安全長等,甚至可能只是財務部門、稽核部門,甚至是IT部門其中的一個組織分工角色時,要真正發揮到應該有的風險控管角色,往往在實務運作上,會有極大的落差。

若引述IBM在2016年發表的CISO報告也可以發現,從 2006年以來,設立 CISO的組織數量已經呈穩定成長,每年約成長10%;在2006年有22%的組織回報已設置CISO,到了2011年則上升了8%。在此份調查報告的所有受訪者中,更平均有71%的受訪者指出其組織設置有CISO。

從這樣的趨勢也可以發現,因為各種資安和網路風險的複雜和威脅升高,傳統的資訊長(CIO)已經沒有能力處理這類的安全議題,才讓資訊安全長或者是安全長、風險長的角色,越來越關鍵,這甚至也成為一種企業是否重視資安的表徵。

舉例而言,2011年索尼(Sony)公司包括Play Station Network、Qriocity音樂隨選服務,及線上遊戲子公司網站Sony Online Entertainment,都遭到駭客入侵,外洩資料總計超過1億筆,這起當年最嚴重的資安事件發生後,也迫使索尼公司必須要設立一個資訊安全長善後。

但是,不論是設立安全長或是資安長,因為要協助企業解決從實體安全、人的安全、系統安全甚至是業務安全的議題,通常必須具備十八般武藝,像是IT、資安、稽核、法律、財務和管理等等,其中,IT技術是資訊安全的基礎,而對於「安全」的觀念,才是企業安全的本質。

資安長或安全長的權力,往往來自組織內的位階,或者是來自高階管理階層甚至是董事會的授權,因此,有些公司中的資安長可能是獨立的角色,有些則是隸屬於某些部門主管之下的角色(例如資訊部門、稽核部門甚至是風險部門等等)。

但是,要發揮資安長價值的真正關鍵在於,「資安長是否具有獨立決策的能力和權力」,也就是說,如果企業內不論是資安管理和法規遵循的決策,資安長都具有實質的決策權力時,這就是一個有權力的資安長,企業才是真正把資安視為企業營運重要環節之一。

資安長與資訊長角色衝突,執行長需具備資安高度

對於資訊長而言,提升效率、降低成本,都是利用IT科技可以快速看到的效益,但是,對於資安長而言,為了安全可能要犧牲效率、增加成本,甚至於,就算持續投資在資安領域,資安長也很難像資訊長一樣,可以衡量出有多好的投資報酬率,因為,資安的投資往往是水深不見底的長期投資,一旦有資安事件的發生,都可能是來自一個不小心的忽略造成的後遺症。畢竟,資安的投資成果就如果水桶理論一般,水桶的容量是取決於水桶最短的木板長度一樣,稍一不慎,甚至可能前功盡棄。

也因此,面對角色職能衝突的資訊長和資安長,對企業營運成敗必須付全責的執行長(CEO),就必須具備資安的高度,可以從資安長的風險評估中,釐清該風險對企業帶來的影響程度。

往往,執行長對資安的支持程度,將取決於資安長是否有能力,可以將風險對企業營運帶來的影響範圍和程度講清楚、說明白。「如果資安長沒有說明資安風險帶來的影響和範圍的能力時,這就是一個不稱職的資安長。」

當然,不是所以的執行長都可以具有企業資安意識,甚至具備資安高度,但是,如何迫使企業的執行長們,不要因為短視近利,選擇犧牲短期的資安投資,卻換來長期資安風險大增呢?

這其實可以參考英國國會在今年6月曾經發表的「資訊安全:個人資料與線上內容保護」報告,其中就提到,英國政府對於屢屢遭受資安攻擊卻遲遲沒有任何改善的企業,除了開罰最高的罰金之外,也建議,應該要把企業執行長的薪資獎金的KPI之一,與企業的資安防護能力好壞做連結,唯有如此,執行長才真正會把資安這件事情放在心上。

設置資安長的確是一種企業落實資安治理的展現,但是,不論資安長這樣的角色是獨立的,或者是隸屬於某個單位下面,更重要的關鍵在於,企業內部一定要有專門的資安負責人,才是真正落實當責機制;另外,也必須有能力落實風險評鑑(RA)和商業衝擊分析(BIA),找出企業內的脆弱環節並加以保護;並且彙整既有的各種防護機制,制定出一套符合該企業文化和作業流程的資安防護SOP,這就是稱職資安長應該具備的能力。
 

上週重要資安新聞(9/25~10/01):

D-Link DWR-932 B遭爆有約20個安全漏洞,研究人員:別用了

Google釋出兩項CSP安全工具以防範XSS攻擊

臉書釋出支援Windows 10的osquery安全工具

蘋果會紀錄iMessage用戶通訊時間及對象

資安業者:Yahoo資料外洩可能不是國家級駭客作的

史諾登愛用的iOS安全傳訊程式Signal開始支援桌面了

沃通與StartCom憑證信用破產,遭Mozilla自信賴名單中剔除

IDC:UTM帶動需求,第2季資安設備出貨成長15.2%

OpenSSL緊急修補9月下旬更新所衍生的新漏洞

Yahoo疑7月就知被駭,美參議員要求證管會調查

SWIFT:鎖定金融業的網路攻擊增多,光今年夏天就有3起

iOS 10遭爆安全機制變弱,備份時密碼更容易被破解

史上最大DDoS攻擊來襲,逾14萬台網路攝影機帶來近1Tbps的巨量攻擊

資安處預計10月中將資安管理法提報政院,最晚11月送立院審查

動作好快!Yahoo資料外洩已有用戶提集體訴訟,Verizon收購案生變?

 

 

 


Advertisement

更多 iThome相關內容