iThome
如何當一位合格的資安長,是近年許多高階主管面臨的挑戰。永豐銀行資訊安全處副總經理高大宇分享第一手經驗,點出資安長識人術、4大必備技能,以及資安長落實企業資安的實務建議,像是如何強化資安3道防線、調查網路犯罪的3大黃金守則。
盤點資安長職涯輪廓,不同專業背景的CISO開始出現
高大宇的身分很特別,他當過20年網路犯罪警察,專攻資安駭客調查,後來在警察大學任教7年半,因緣際會進入金融業擔任資安主管,掌管資安事宜。他也是臺灣資安主管聯盟副會長,協助推動各產業和金融業資安交流,來提高整體資安防護能力。
資安長(CISO)是這幾年興起的職位,但許多企業仍在探索資安長職涯發展和技能。高大宇引用國際調研機構海德思哲(Heidrick & Struggles)的《2022年全球資安長調查》報告,他們訪問全球327名資安長,盤點出資安長職涯軌跡,發現金融業CISO通常具備金融服務和技術行業的近期經驗,且多半來自IT、軟體工程背景。有趣的是,具其他專業背景的CISO也不斷湧現。
報告也指出,超過半數的CISO填答者,是從一家企業的CISO再到另一家擔任CISO角色,退休後就轉任董事。這意味著,在不同企業間擔任資安主管,是多數CISO的職涯發展路徑。
這份報告還歸納出CISO日常的3大工作重心,包括落實組織的安全設計(Security by design),也就是將資安原則嵌入業務流程和核心軟體的開發,在程式設計的邏輯中納入資安機制,在源頭就做好資安把關。
另一個重心是匯報關係,特別是金融業,不只要向上級匯報,也要向稽法風等單位報告,甚至是其他組織,如全體董事會或其它委員會。高大宇舉例,尤其是新聞事件發生或新技術出現時,如ChatGPT、雲端,CISO就得向不同單位匯報狀況、潛在風險和應對策略,這是資安長的重要工作之一。
CISO還有個工作重心,也就是識才、選才、育才、用才和留才,並增加投資來招募一流人才、儲備力量,來因應不斷擴大的團隊規模。簡單來說,建立和維持優質的團隊,也是CISO每一天的重要工作。高大宇以從這三大工作重心來分享他的資安長經驗。
資安長要會識人,也要建立良好的工作環境
首先,資安長得具備挑選人才的眼光。但,好人才要有哪些特質?
高大宇指出,好人才要反應快、能舉一反三且思考周延,還要能因應困境,更要誠信、可靠、有紀律,能讓人信任,並要擁有工程師的技術和生意人的頭腦。此外,好人才也要能尊重他人,要有良好的情緒管理能力,願意傾聽、釋出善意,並傳遞正能量。
除了要有識人眼光,資安長也得塑造良好的工作環境,來留住人才。高大宇坦言,通常好員工離開一家公司,並非離開工作,而是離開主管和老闆。根本原因不外乎是主管不在乎員工、無法實現承諾,或是雇用、升職了不對的人。為避免人才離開,他提醒,主管得留意員工感受和自己開出的承諾,並雇用合適的人才。
而好員工可能不好相處,但他們擁有才能而有很多就職選擇。如何留才,得靠主管接納員工創意、賦予員工挑戰,以及認清員工的貢獻並給予獎勵。不只如此,主管還得讓好員工願意為公司工作,得引導員工追尋熱情、發展員工技能,避免員工工作負荷過重。
高大宇分析,在執行資安工作上,資安長還要做到4件事,才能與團隊落實資安策略。一是默默吸引合適的人才、形成團隊,二是洞悉人性,對公司基層人員到上級長官都能寒暄、保持友好關係。再來,資安長還要隱藏智慧,要能聽取意見、謙虛接受不同看法。最重要的是,資安長要給予下屬犯錯的機會,做到「有錯一肩扛、有功不霸占,」鼓勵團隊成員發揮所長。
資安長必備4大技能
這樣還不夠,高大宇進一步點出,資安長還得有4大必備技能。因為,面對新興科技日益複雜的現況,有許多程式變動的風險,第一線資安人員常面臨過多警報,導致對告警疲勞,而資安長的究責需求也日益重要。
高大宇指出,此時資安長要有清楚的理念、設立清楚的目標,尤其是金融機構講求安全、便利、不中斷,執行計畫時也講究如期、如質、如預算,「要有明確理念目標,才能定位問題和發展方向」,這是資安長必須具備的第1項技能。
再來,資安長要擅長溝通,特別是要有說故事般的溝通技巧,把生硬的資安知識、數字和代號等轉為白話,來與上級溝通,更有效率解釋問題。這項技能,仰賴資安長的資安知識廣度,以及尋找問題、面對問題的能力。
第三,資安長得有領導執行力,比如,團隊面對爆增的駭客即服務威脅,資安長以零信任為核心來推動資安任務時,要避免成為負面焦點,也要熱情跨域協調,而且要承擔決策責任,讓下屬安心執行任務。最後,資安長還要具備「內外部性格」,得兼具社交韌性的外向影響力,以及認真盡責的內部執行力。(如下圖)
用三道防線把關內部安全
資安長不只要有軟實力,實務上則要有硬實力。高大宇分享,落實企業資安有三道防線,第一道是內部控制、管理控制,也就是業務單位根據指標,來自行查核、衡量風險,發揮最大預防效益。這裡的自行查核是指,根據過往辦理法規和更新的法令修正辦法,來了解內部控制的有效性。這道防線直接面對分散在不同單位的風險人員,資安長得要規畫提升人員的內部控制意識和判斷能力,比如業務單位要開放例外需求時,資安長可提醒潛在風險。
第二道防線比較複雜,需要法遵、風管、資安和防治洗錢等單位聯手把關資安風險,這就得靠跨域協調,來達到事先防範效果。由於涉及單位多,高大宇建議擁抱KISS原則,將複雜事務簡化,讓各單位容易理解,來促進溝通合作。第三道防線則是透過內部獨立監督的稽核單位把關資安,得靠協調合作來取代究責、衝突。(如下圖)
從數位鑑識角度思考資安事件應變方式
擔任資安長一定會遇到資安事件,事件發生時,有不同面向的應變和處理程序。高大宇從企業角度和數位鑑識角度分析,以企業而言,資安措施大多遵照美國NIST提出的CSF資安框架來規畫,先做好辨識(Identify)、保護(Protect)、防禦(Defense),接著才是事件發生時應變(Respond)和復原(Recover)。
然而,數位鑑識意味著要走法院程序,因此,第一步該做的反而是計畫(Plan)和準備(Prepare),並採用數位鑑識工具來收集、分析證據,接著才是應變、辨識,以及法律意義上的收集、保存證據,並做成報告,進行法院鑑識。(如下圖)
高大宇提醒,發生資安事件後,不論企業是否交由公部門調查,在執行企業私部門調查時,還是得以「最終會上法院」的原則來進行調查,這樣才會要求自己遵守嚴格的調查程序,同時還能保障企業內部的私有資產。
他更引用國際知名的資安教戰手冊《Cyber Crime and Cyber Terrorism Investigator's Handbook》,建議資安長處理網路犯罪調查時,可參考3條黃金守則,包括不預設任何立場、不相信任何事物,以及質疑並檢視所有事物,如此才能透過證據,推導出正確的結論。
不只有實務守則,資安長接下來該注意的資安趨勢也很重要。國際知名資安專家Rafeeq Rehman發表《CISO MindMap 2023》,羅列了今、明兩年的資安趨勢發展,高大宇點出其中6點,包括CISO要更注重韌性、減少並整合資安工具、打造資安團隊的品牌形象、拆解網頁應用程式元件,甚至也要強化新興科技的專業知識,並建立資安自動化角色,也就是利用資安工具,來協助CISO處理資安任務。掌握這些趨勢,才能提高企業資安應變能力。
熱門新聞
2024-09-29
2024-10-02
2024-10-04
2024-10-03
2024-10-01
2024-10-01
2024-10-01