【臺灣資安大會直擊】前美國地理空間情報局資安長：CISO要成為IT和董事會的橋樑，向上管理關鍵要靠9項策略

在數位經濟快速發展的浪潮下，資安威脅儼然成為常態，網路犯罪組織與駭客的惡意攻擊，都可能使得企業執行長、資安長接連下台負責，因此，各家企業必須正視資安議題。前美國國家地理空間情報局資安長Lance Dubsky，在14日的臺灣資安大會CISO（Chief Information Security Officer，資安長）論壇，分享資安領導者該如何與組織的董事會共同商討資安策略。

Lance Dubsky過去曾是美國空軍的資深將領，退休後曾擔任公共部門與私營部門的CISO，負責保護及捍衛政府情報和關鍵航空知識產權，任職單位包括美國國家偵察局、美國地理空間情報局，也曾擔任美國國防部威脅降低管理局、美國眾議院、聯邦調查局與美國國家偵察局的資安長顧問，也曾是FireEye的首席安全策略師，目前則是Cyber Oak Solutions資安顧問公司的創辦人暨資安長。

「網路資安事件都有一個共通點，他們都是不用付費、或是提供免費試用的網站服務。」Lance Dubsky指出，像是Yahoo、Equifax、Sony，都是在遭受駭客攻擊之後，造成大筆用戶帳號、個人隱私資料外洩，才學會網路資安的重要性。而當企業發生重大資安事件時，個資遭外洩的用戶要的不只是執行長、資安長辭職負責而已，他們更在意的是資料安全與後續處理，以及獲得應有的損失賠償，而通常企業都會為此付出慘痛代價。

當企業開始意識到資安威脅的重要性時，就會向IT部門尋求解決方案。Lance Dubsky分享，IT部門與董事會之間需要有共同語言，他打趣地說，有時候其實不是組織的資安出了問題，而是IT部門的人溝通的方法有問題，而組織的資安問題要有效解決，還必須透過董事會的評估與批准。這時，他們需要的是一位能當橋樑的資安長。但他也認為，只要是IT部門裡的成員，不管在組織中扮演何種角色，都要理解組織的業務需求與商業產品、服務，才能有效在資安威脅上對症下藥。

Lance Dubsky列出9項CISO在組織內部向董事會解釋資安議題的重點策略，傳授如何以共同語言有效溝通，並進一步改善董事會文化以及轉化決策者的思維。

1.CISO可以向CEO或是董事會成員提倡，正視資安帶來的「風險」而不是只在乎它是否安全，轉化他們對資安的定義。

2.CISO應該將資安風險解釋成可以理解的業務議題，目的在於能有效溝通，讓董事會裡的高層了解，資安與業務風險是畫上等號的。

3.董事會內部必須了解組織在同一產業的競爭力，確保能持續進步。

4.CISO在提出資安的指標和措施時，盡量不要以IT角度說明，而是要用與業務風險有關的例子來敘述，那才是董事會在乎的。例如，以組織內部的產品與投資來舉例會面對到的資安威脅。

5.CISO需使用能夠激發董事會高層想像的例子，來形容組織在資安上面臨的狀況以及解決方案為何。例如，健康照護需要用何種藥物治療。

6.CISO要改善談論資安的方向，應該更著重於董事會所關心的議題上。例如，以資安結合公司的收入比率、併購、產品發布、合夥關係，而非以技術層面切入。

7.CISO可列出組織本身在資安上的議題，像是資料保護與網路安全是否到位，資安漏洞與風險是否進行評估，以及在解決方針上是否進行測試。讓董事會高層能夠一目了然，在決策時也能更加清晰。

8.CISO與董事會高層應共同商討，及早投入網路保險與聘請法規遵循專家，共同對抗資安威脅。

9.CISO可善用「教育時刻」的會議標題，讓董事會高層以學習的角度共同面對資安議題。

最後，Lance Dubsky說道，不管是在何種產業的CISO、CSO，別只擔心當資安事件發生後會面臨被解雇的狀況，而是要試著改變、讓自己更加主動積極，隨著時代的脈動持續學習，確保有足夠的專業知識可以為組織提供洞察力和建議，並且定期檢查與評估組織的資安漏洞是否修補，才會是稱職的資安長。