前美國國家地理空間情報局資安長Lance Dubsky,分享該如何與組織的董事會共同商討資安策略。

圖片來源: 

iThome

在數位經濟快速發展的浪潮下,資安威脅儼然成為常態,網路犯罪組織與駭客的惡意攻擊,都可能使得企業執行長、資安長接連下台負責,因此,各家企業必須正視資安議題。前美國國家地理空間情報局資安長Lance Dubsky,在14日的臺灣資安大會CISO(Chief Information Security Officer,資安長)論壇,分享資安領導者該如何與組織的董事會共同商討資安策略。

Lance Dubsky過去曾是美國空軍的資深將領,退休後曾擔任公共部門與私營部門的CISO,負責保護及捍衛政府情報和關鍵航空知識產權,任職單位包括美國國家偵察局、美國地理空間情報局,也曾擔任美國國防部威脅降低管理局、美國眾議院、聯邦調查局與美國國家偵察局的資安長顧問,也曾是FireEye的首席安全策略師,目前則是Cyber Oak Solutions資安顧問公司的創辦人暨資安長。

「網路資安事件都有一個共通點,他們都是不用付費、或是提供免費試用的網站服務。」Lance Dubsky指出,像是Yahoo、Equifax、Sony,都是在遭受駭客攻擊之後,造成大筆用戶帳號、個人隱私資料外洩,才學會網路資安的重要性。而當企業發生重大資安事件時,個資遭外洩的用戶要的不只是執行長、資安長辭職負責而已,他們更在意的是資料安全與後續處理,以及獲得應有的損失賠償,而通常企業都會為此付出慘痛代價。

當企業開始意識到資安威脅的重要性時,就會向IT部門尋求解決方案。Lance Dubsky分享,IT部門與董事會之間需要有共同語言,他打趣地說,有時候其實不是組織的資安出了問題,而是IT部門的人溝通的方法有問題,而組織的資安問題要有效解決,還必須透過董事會的評估與批准。這時,他們需要的是一位能當橋樑的資安長。但他也認為,只要是IT部門裡的成員,不管在組織中扮演何種角色,都要理解組織的業務需求與商業產品、服務,才能有效在資安威脅上對症下藥。

Lance Dubsky列出9項CISO在組織內部向董事會解釋資安議題的重點策略,傳授如何以共同語言有效溝通,並進一步改善董事會文化以及轉化決策者的思維。

1.CISO可以向CEO或是董事會成員提倡,正視資安帶來的「風險」而不是只在乎它是否安全,轉化他們對資安的定義。

2.CISO應該將資安風險解釋成可以理解的業務議題,目的在於能有效溝通,讓董事會裡的高層了解,資安與業務風險是畫上等號的。

3.董事會內部必須了解組織在同一產業的競爭力,確保能持續進步。

4.CISO在提出資安的指標和措施時,盡量不要以IT角度說明,而是要用與業務風險有關的例子來敘述,那才是董事會在乎的。例如,以組織內部的產品與投資來舉例會面對到的資安威脅。

5.CISO需使用能夠激發董事會高層想像的例子,來形容組織在資安上面臨的狀況以及解決方案為何。例如,健康照護需要用何種藥物治療。

6.CISO要改善談論資安的方向,應該更著重於董事會所關心的議題上。例如,以資安結合公司的收入比率、併購、產品發布、合夥關係,而非以技術層面切入。

7.CISO可列出組織本身在資安上的議題,像是資料保護與網路安全是否到位,資安漏洞與風險是否進行評估,以及在解決方針上是否進行測試。讓董事會高層能夠一目了然,在決策時也能更加清晰。

8.CISO與董事會高層應共同商討,及早投入網路保險與聘請法規遵循專家,共同對抗資安威脅。

9.CISO可善用「教育時刻」的會議標題,讓董事會高層以學習的角度共同面對資安議題。

最後,Lance Dubsky說道,不管是在何種產業的CISO、CSO,別只擔心當資安事件發生後會面臨被解雇的狀況,而是要試著改變、讓自己更加主動積極,隨著時代的脈動持續學習,確保有足夠的專業知識可以為組織提供洞察力和建議,並且定期檢查與評估組織的資安漏洞是否修補,才會是稱職的資安長。

 

 


Advertisement

更多 iThome相關內容