【iThome Cyber Interview】身經百戰的美國前情報局資安長 Lance Dubsky

Lance Dubsky不僅曾在美國多個情報單位擔任資安長，也在民間企業累積豐富實務經驗，是一位身經百戰的資安長。

請簡單介紹一下你的經歷

Lance Dubsky：我是Cyber Oak Solutions資安顧問公司的創辦人，從1980年代我就開始從事IT與維運工作，算起來已經是古董級IT了。在1990年代中期，我轉而從事資訊與實體安全相關工作，在工作生涯前半段的20年中，我都在美國空軍服務。退休之後，我一開始是擔任多位聯邦單位資安長的顧問，包括美國國防部威脅降低管理局、美國眾議院、聯邦調查局與美國國家偵察局。之後，我陸續擔任美國國家偵察局、美國地理空間情報局的資安長，也在Meggitt與Iron Mountain等民間企業服務，直到今日我仍然不斷提供相關顧問諮詢。

你曾經在政府機關與民間企業擔任資安長，請你分享如何成為一位成功的資安長？

Lance Dubsky：我個人認為成功需要很大的努力，而沒有一套成功的方法，是可以適用於每個組織。因為每個組織的環境都不同：領導者不同、技術與流程也不同，所以CISO資安長必須有能力適應每種環境。以下是幾個曾經對我有所幫助的方法：

1．致力於發展團隊，延攬最好的人才，推動團隊發展，並且選擇適合的供應商夥伴。

2．為業務部門服務，CISO必須協助組織的業務領導者保護其業務，因而CISO需要徹底了解業務需求，基於風險評估，保障業務系統、應用程式、商業流程與智財資料的安全。

3．協同合作與溝通，CISO要秉持開放的心胸、坦率、正直、公正與客觀的價值觀，並且將這些價值觀與組織的領導團隊分享，發展信賴的夥伴關係是成功的關鍵。

4．CISO必須了解組織的業務需求與商業目標。

5．CISO必須教導業務與IT主管，如何保護系統與軟體。

6．把資安視為服務！資安團隊的任務是服務業務與IT部門，CISO必須拋棄守門員的心態，把自己當成是可靠的服務供應商，並且教導資安團隊服務客戶的技巧。

7．務必先打好資安的基本功。我們時常會不小心落入追隨酷炫技術或流行趨勢的陷阱，在資安基本功尚未打好基礎前，盲目追逐潮流無助於提升組織的安全。我認為以下三項資安基本功一定要做好：1）在系統開發初始，就遵循安全的開發方法，並且安全地設定好系統。2）能夠快速修補系統。3）對於系統設定的維護管理要嚴格且無情。

8．安排資安工作的優先順序很重要，因為任一個組織都可能有數百項資安問題與改善方法，你必須基於組織的風險衝擊，為資安工作安排最佳的優先順序。

9．最後，一定要有耐心。因為CISO的工作像是在跑馬拉松，而不是短跑衝刺。

你認為2018年最大的資安挑戰是什麼？

Lance Dubsky：在2018年，我們勢必會遭遇許多資安挑戰，然而整體而言，最大的挑戰在於許多非預期事務或員工出現狀況時，如何確保所有資安工作不受影響，持續進行。

當前許多企業仍在努力因應未知的軟體漏洞，尋找可以更快速修補系統漏洞的方法。我們必須持續正視這個問題，因為能夠越快修補漏洞，就能越快降低對外曝露的資安風險。

GDPR將會是重要的議題，在GDPR實施之後，所有資安相關工作都必須考量GDPR對於隱私的要求。GDPR何以重要？因為GPDR的規範對企業財務有顯著的衝擊，企業領導者將會要求公司符合法規，這代表IT與資安團隊的工作重心會轉移，確保高風險、高衝擊的資安問題能符合法規要求，將成為首要的工作

Spectre與Meltdown等處理器漏洞問題的爆發，突顯許多公司都無法妥善因應。這起資安事件幾乎影響所有數位裝置，從智慧型手機、伺服器，到雲端服務，無一倖免，這樣的局面令人既害怕又擔心。在此之前我一直倡議自動化軟體修補，之所以要針對可信賴的軟體或應用程式採取自動修補，主要著眼於漏洞不補，就是持續曝險。

然而，在Spectre與Meltdown事件中，廠商釋出的軟體修補檔履次出現問題，而且還影響到系統效能。因此，我認為每個組織未來都要決定哪些系統是可以自動化修補，而哪些系統在安裝修補檔前需要先做測試。對於降低Spectre與Meltdown這類資安漏洞的風險，快速執行軟體更新與掌握軟體更新的分析數據，可說同等重要。

還有什麼議題是你認為很重要，必須格外重視的？

Lance Dubsky：我們必須謹記資安的本質，現在許多組織的資安單位仍定位為嚴格把關的守門員，最常說的就是「不行」，以至很難通過資安審核，企業流程遂變得緩慢，適得其反。

其實資安單位最重要的目標，是幫助業務單位了解如何安全部署應用程式或業務服務。如果資安部門老是在說不，那麼公司應該考慮換個資安主管了。

另一個重要的議題是第三方供應商管理，這將會是今日CISO能夠成功的關鍵。現在越來越多的組織採用資安委外管理服務、雲端服務與應用程式委外開發。這樣的作法從組織面來看很合理，然而資安單位就必須與供應商之間制定標準，確保雙方都清楚彼此的權責。

許多組織往往在敲定委外合約後，就認為接下來所有工作都是委外廠商的事，因而沒有繼續督導與監控供應商的表現，這其實是錯誤的。唯有持續與供應商合作，發展夥伴關係，並且監控其表現，才能獲得真正應得的服務。