早在2008年的iThome大調查中,我們發現到臺灣2千大企業中只有1成的比例,將資訊部門主管拉到CIO層級,也就是臺灣IT最高主管能加入高層會議,參與營運決策的比例只有10%。經過8年,數位轉型已經成了許多大型企業追求進一步發展的關鍵戰略,CIO的必要性,不再是一個需要爭論的問題。

反倒是資安長(Chief Information Security Officer,簡稱CISO)的設置成了新的焦點,尤其在剛落幕的2017年臺灣資安大會上,資安長更是熱門的話題之一。

臺灣大型企業的資訊預算,往往只占整體預算的1、2個百分比,而資安預算的比例,往往更是不到資訊預算的5%。企業投入資安的人力也相當不足,大多都是IT人員兼任,更遑論設置專責資安部門。大概只有資訊預算多達上億元規模的金融業、高科技製造業或電信業者,有能力設置。

不過,從去年中的一銀ATM盜領事件,到今年初的券商集體遭勒索案,讓金管會下定決心,出面要求銀行要在6個月內設置專責資安主管和專責單位,才讓這個在臺灣比資訊長更罕見的資安長職務,浮上了檯面,不只金融業,也是其餘各產業IT主管的焦點。

就如同IT主管和CIO的差異是位階高度,資安長是指,企業在核心決策團隊中設置專責資安主管。

臺灣銀行不乏有資安主管,但多設置在資訊最高主管之下,但是,資安工作有時得扮演踩煞車的角色,而資安主管正是那一個必須出面、對資訊主管說「不」的人,但身為下屬的角色,往往讓資安業務負責人難以發揮效用。

在美國國家偵查局和美國國家地理空間情報局擔任過資安長,現在是英國航空零組件製造公司Meggit PLC資安總監的Lance Dubsky,他從三次擔任資安長的經驗中,歸納出資安長必須時時掛在嘴上,追問IT部門的一個字,那就是「Why」。

尤其許多企業IT部門常會要求採購新穎資安設備,還威脅說,若不趕緊採購,企業就會遭到資安攻擊。但Lance Dubsky認為,這時候,資安長就必須馬上介入,並且追問IT部門,為何必須要採購這些產品,真的有急需嗎?「資安長必須時時追問為什麼。」他強烈建議。

企業想要落實資安,就得「玩真的」,不論是星展銀行企業安全部資深副總裁徐子文,以及聯發科IT本部協理劉錫麟,都這樣認為,他們所屬的企業也都這麼做。星展銀行甚至不惜開除超級業務員,只因對方違反了公司的資安要求,為的就是讓全公司上下,都體認到「星展銀行的資安是玩真的。」徐子文認真的說。

資安要來真格的,資安長勢必就得具備和CIO分庭抗禮的資格。

勤業眾信風險諮詢公司總經理萬幼筠更直接提出建議,資安長的位階至少要是協理與執行副總等級,主掌企業資訊安全的風險管理,並且跟法遵長、風險長、資訊長互相影響、互相報告。

因為,對CIO而言,資安是一種選擇,取決於CIO工作安排上的優先順序,但對CISO而言,資安就是最基本的必需品。反過來說,若企業自認,資安是企業營運的必需品,CISO就是企業非設立不可的必要職務了。

專欄作者

熱門新聞

Advertisement