鴻海集團旗下有6大事業群、每一事業群年收都破兆,如何掌管龐大且複雜的集團資安,是鴻海集團資安長李維斌近來面對的挑戰。他整理第一線經驗,點出權威資安框架CSF將新添治理元素,資安治理已然成為趨勢,資安長也應轉變思維,來提高組織面對不確定性的冒險本錢。
資安趨勢轉變,講究治理
IT出身的李維斌,曾任逢甲大學資訊處資訊長、臺北市資訊局局長,後來進入鴻海集團擔任鴻海研究院執行長,以及研究所旗下資安所所長,去年開始還多了個集團資安長的身分。
他點出,要做好資安工作,資安長(CISO)得先了解大環境的變化。比如,過去資安人常談VUCA,根據易變性(Volatility)、不確定性(Uncertainty)、複雜性(Complexity)和模糊性(Ambiguity)來思考資安做法。但近年,哈佛商學院教授Bill George提出VUCA 2.0,聚焦願景(Vision)、理解(Understanding)、勇氣(Courage)和適應(Adaptability),資安長一樣可從該角度思考資安策略。李維斌說明,在這變動的環境,資安長得要定義出堅實的願景,才能因應環境波動,同時保持開放心態,來理解新技術、法規和需求,才能有效溝通。而且,資安長也要有勇氣面對複雜事物和挫折,才能適應新狀況。
李維斌還觀察到,資安文化在轉變,從最初聚焦的技術層面,亦即講求防火牆、入侵偵測系統等設備採購,轉為管理層面,重視認證資格(如ISO 27001)的取得。但近期,資安文化焦點悄悄轉向治理層面,講究當責,要企業整體營運更順暢。
不只如此,最明顯的大環境變化是,國際資安權威機構美國NIST今年開會,要改版各界奉為圭臬的資安框架CSF,將在IDPRR五大元素中,進一步納入治理(Governance)。李維斌點出新版的改變,包括資安治理、供應鏈管理、持續性風險管控、基礎建設韌性,以及善用人才、程序和科技來實現資安防護等。他也透露,NIST已在今年4月擬定2.0版本的核心內容,明年初預計釋出CSF 2.0版。(如下圖)
轉變思維聚焦服務、業務和創新
那,什麼是資安治理?
李維斌引用國際資訊安全稽核員(CISA)證照的說明,舉出5大資安治理特點,包括要有當責框架、要有決策制定的階層,還有清楚定義的業務目標相關風險。重要的是,資安治理還要有風險緩解計畫和策略,更要有監管處理流程和詳細程序。
面對大環境改變,資安長和負責資安業務的資訊長(CIO)也得「轉變思維。」李維斌舉例,不論是資訊長還是資安長,都得從過去談系統(System)的習慣,改以服務(Service)為中心,來與業務單位更好地溝通。同樣地,過去以IT敏捷為中心,現在資安應思考的是業務敏捷,維持業務快速迭代。還有一個重要的思維轉變是,將資訊轉換為創新,來替企業創造價值。
「唯有思維轉型,你才有辦法看見不一樣的事。」李維斌進一步指出,資訊長得把自己定位為「業務夥伴」,而不是IT提供方,應從業務角度思考,IT能如何運用、如何創新,並將這個運用能力帶給業務單位。
同理,資安長也應將自己視為業務夥伴,而非「安全警察」,才能順利將資安觀念帶到第一線業務單位,提高全體資安意識。李維斌強調,資安長的一大任務是提高組織面對不確定性的冒險本錢,帶領組織在變幻莫測的環境中,順利走出一條路。另一個重要任務是「調和」維持競爭力下的衝突,而非「妥協」,亦即要理解雙方處境和需求,找出可行的第三條路,而非各退一步、妥協於中間點。這項任務,「也是我對自己的期許,」李維斌說。
面對轉型,資安長和資訊長如何協調分工?他總結,資安長該做的是治理,也就是「Doing the right thing」,比如負責監督、授權給資訊長來做決策、負責戰略規畫、扛起當責性、分配資源,而資訊長該做的則是管理,也就是「Doing things right」,比如經授權來決策、負責專案規畫,以及善用資源來完成專案。
鴻海集團靠4關鍵組織推資安
李維斌也以鴻海集團為例,來說明大型企業資安治理模式。鴻海集團內部有4個關鍵資安組織,包括資安治理工作小組、資安維運工作小組、由集團董事長為首的資安治理委員會,以及由資安長領導的秘書處。
其中,資安治理工作小組和資安維運工作小組相互監督、指導和評估,後者還會與集團6大事業群的資安執行單位共事,並與鴻海資安情資分享聯盟互通,來進行通報和交換情資。
資安治理委員會除了由董事長領軍,成員還來自各事業群的總經理,聚焦於資安治理方向與策略。秘書處除了向資安治理委員會報告,也肩負2項重要任務。一是提供資安治理和管理相關資料給IR、PR和負責年報的單位,來將成果轉換為可對外發布的訊息,另一項任務是協助稽核單位,來落實集團內部資安稽核。(如下圖)
資安3要素CIA的新解讀
早年擔任資訊長的經歷,以及在鴻海集團的資安磨練,讓李維斌對業界熟悉的資安3要素CIA框架,有了新的解讀。CIA是指機密性(Confidentiality)、完整性(Integrity)和可用性(Availability),但對李維斌來說,CIA還有更廣泛的意義。
他指出,其中的C代表同理的過程,透過傾聽(Contact)、融入(Context)情境和影響(Content)對方,來產生信任。接著是形成組織文化的I,亦即找出不會被拒絕的切入點、從好的開始(Initiative)來產生影響,和平地重新詮釋分工與合作。最後的A則是改變的過程,透過改變工作方式,來讓組織行為模式發生改變,比如企業遭遇危機,於是導入新系統因應(Adopt),接著使用者熟能生巧(Adept),並將這個工具融入業務流程,進一步適應(Adapt)、實現改變。
最後,李維斌也總結資安長工作心法,「資安長是一個持續進化的角色,」他表示,外在環境不斷變化,因此資安長得「Stay informed,」比如理解不斷新增的監管規範和法遵,以及不斷改變的威脅環境和使用環境。再來,資安長得要讓企業有能力擁抱過去認為風險太高的機會,同時因應治理階層不斷被要求的資安責任與義務,來分憂解勞。更重要的是,資安長要能「From team to teaming!」李維斌解釋,資安長不會只與一個固定團隊共事;每當不同事件發生,資安長得尋找有領域知識的專家參與,並組合不同職員、形成有默契的團隊來解決問題,如此才能優化企業資安體質。
熱門新聞
2024-09-06
2024-09-06
2024-09-04
2024-09-06
2024-09-06
2024-09-06
2024-09-09
2024-09-06