戴夫寇爾執行長翁浩正說明,資安策略從風險、程序、控制與技術來建構,他並借用了SANS歸納的風險框架、計畫框架,以及控制框架,說明以及各層角色資安人員可以參考的資源。另外,他們也強調,企業除了由上而下做到資安策略規畫,也能在發生資安事件或進行攻防演練後,由下而上去檢視每一層是否能做好管控。資料來源:戴夫寇爾,iThome整理,2020年9月

在企業準備要推動資安防護的工作時,可能已經聽過不少資安概念與框架,但太多的資訊仍讓企業不知從何下手,或者是只在遇到資安事件時,著急解決當下的問題。

因此,現在一些企業最常見的難題,就是資安策略不夠明確、難以實踐,那麼,我們能否有更有更好的做法,來建立資安防護策略?在上個月舉行的2020臺灣資安大會上,戴夫寇爾執行長兼共同創辦人翁浩正認為,資安不能一直處於短期應急的狀態,必須要有中長期的規畫,而活用資安框架,就是幫助企業擬定長期資安策略的重要工具。

擬定資安策略需活用資安框架,在2020臺灣資安大會上,戴夫寇爾執行長兼共同創辦人翁浩正(圖左),與該公司另一位事業發展經理鍾澤華(圖右),共同說明擬定資安策略的基礎就是資安框架,並要能夠從風險、程序、控制與技術層面來對應。

規畫資安策略要同時從風險、程序、控制與技術面看起

關於資安策略需要關注的構面有那些?在這次活動上,翁浩正與該公司一位事業發展經理鍾澤華,他們從風險、程序、控制與技術面,並搭配熱門資安框架與Cyber Defense Matrix模型的應用,讓企業在資安策略擬定上能套用更具邏輯的方法。

翁浩正表示,在他們紅隊演練經驗中,當企業收到技術報告,雖然技術人員可以理解漏洞問題、入侵途徑與解決之道,但從企業資安高層角度來看,將是資安策略該如何定義。對此,他們利用現有資安框架,剖繪出可綜覽全局又立體的構面,提出具體參考建議。讓企業不論在平時或演練後,能有好的方式去規畫資安策略。

對於規畫資安策略這件事,翁浩正用相當白話的方式來解釋,他說,資安策略就等於是有順序的代辦清單,當中包括了短期、中期與長期的計畫,同時,資安策略也等於企業導入防禦措施後仍須持續處理的事項。而這裡有兩個重點,一是順序,一是導入後持續降低風險,是他特別強調的部分。

那麼,資安策略該如何擬定呢?翁浩正指出:「資安策略的基礎是資安框架,而資安框架要有效果,要靠真實威脅調整。」只是,雖然參考這些框架就可以事半功倍,但彼此間的關連,以及如何應用,仍是不少人會問的問題。

制定各層面資安策略,可仰賴對應的資安框架

為了讓各界更清楚這些資安框架的定位,鍾澤華從企業資安管理階層與資安框架的關連說起。

對此,他們定義出企業內有4種資安人員,角色層級分別是資安長、資安官、資安主管,與第一線資安人員,因此,企業制定資安策略將以由上而下的方式來進行,而這些不同層級也意謂著,將從風險、程序、控制與技術,來建構出完整的安全層面。(編按:關於上述資安官一詞,意指資安高階主管,而非中國用法是指資安長,特此說明)

在這4大層面中,資安上的任務各自不同,翁浩正表示,各層都有對應的資源可以參考,他從SANS歸納的風險框架(Risk framework)、計畫框架(Program framework),以及控制框架(Control framework)來說明。

例如,以資安長而言,主要考量的是風險與風險評鑑等,相關風險框架可參考的資源,包含NIST 800-39、NIST 800-30,以及ISO 27005與CIS RAM;在資安官的角色上,主要著重在程序面,相關計畫框架可參考資安管理上所熟知的ISO 27001,以及近年熱門的NIST CSF;在資安主管方面,關注的是控制措施該怎麼做,包括控制項較具體的NIST 800-53、CIS CSC;最後的是第一線資安人員,或是一般技術人員,他們專注在技術面,主要掌握的是防禦解決方案與服務。

對此,翁浩正也補充說明,例如,在資安高階主管負責的程序面來說,當中可對應NIST CSF與ISO 27001,他認為這兩種框架可以互補,主要依據使用情境;而在資安主管負責的控制面來說,如果企業不知該如何做好控制,他非常建議企業可以參考CIS CSC,也就是CIS Controls,從中找到企業本身所需。

更重要的是,翁浩正認為,藉由這樣的架構,將有助於企業釐清更多資安上的問題,他並提醒要用長期方式來規畫,像是3年或5年,要求自己達到更好的控制。

 相關報導  資安框架活用新思維


Advertisement

更多 iThome相關內容