要懂得確認資安需求並做好資源分配

面對今年(2022年)底,臺灣有111家上市櫃公司必須要設立資安長及專責單位,這麼急迫的高階人才需求,也讓資安長(CISO)這個角色一時供不應求。

這股人才吸力也讓過往一些職涯偏向穩健保守、具備資安專業技能的公務員,跳槽到對資安長人才需求更為殷切的產業界,例如金融業。

公務機關的保守,加上對產業界對資安人才薪資的躍升,這也讓《資通安全法》實施後,公務機關近千名資安人力缺口,一直處於無法補足的狀態。

在產業界亟需資安長高階人才的同時,臺灣科技大學資管系教授查士朝觀察指出,資安長的高度與眼界,和公司規模及營運有正相關,要學會確認資安需求以及做好資源分配,成為稱職資安長應該具備的技能。

掌握三個共通特質,學會資源分配與確認需求

要成為稱職的資安長,應該具備哪一些特質呢?查士朝曾經觀察過許多各行各業的資安長,他發現有幾個共通的特質。

首先,稱職的資安長在企業發生資安事件時,必須要能夠快速掌握事件原因,並且可以對事件進行因應。

其次,稱職資安長必須要能夠知道自己組織的資安風險,並且能夠妥善地運用有限的資源因應風險。

第三,要能夠定義並識別每個成員的資安責任,並且協助組織成員擔負起應該負擔的安全責任。

但如果要以產業別做區分的話,查士朝認為,首先要考慮到的是業務類型:是否會處理到敏感個資?如果服務中斷,是否會造成重大衝擊?是否涉及營業秘密外洩?一旦發生資安事件,是否會產生外溢效果?資安要求是否被列入法規當中?甚至是企業本身是甲方、乙方,乃至於丙方,對於擔負的資安責任都有差異。

若以個別組織思考的方向是:該企業是否仰賴委外或外部雲端服務?個別組織是否賺錢等等。他坦言,如果組織是高度監管並且有許多法規要求,並且有很多委外廠商,該組織資安長的特性會比較著重於法遵與稽核。

設立資安長除了法規的要求外,公司是否獲利也會影響資安長的「底氣」。查士朝指出,倘若公司不怎麼賺錢,即便設有專職的資安長,整個公司可能是「校長兼撞鐘」,對於資安長而言,除了負責政策制定,其他從網路、防毒到桌機,可能都是資安長一肩挑起。「這時候資安長最重要的能力就是,怎麼做好資源分類。」他說。

但如果是資訊部門在組織中相對弱勢,很多時候都是由業務單位主動提出需求,資安長此時關注的部分,應該偏重:確認資安需求不會因為業務單位的要求而消失。

資安不只是資安部門的事,更是全公司的事

查士朝坦言,資訊安全部門的功能會和很多部門的功能重疊,以防火牆的設定為例,雖然防火牆算是資安設備,但設備的設定通常會由資訊部門設定,資安部門則是「決定資安政策要怎麼設定」。

他認為,資安風險的擬定如果沒有納入業務單位的意見,往往無法發揮應該有的效果。因此,如果太強調資安部門,以致於公司所有資安相關工作都歸到資安部門負責,其實並不是好事;反而是要讓公司的每個成員,都清楚知道自身在資訊安全上的責任。目前看來,資訊安全部門最直接的工作,就是風險評估與制度建立、稽核、資安檢查、資安投資的規畫與教育訓練等。

查士朝表示,應該會有許多了解業務運作的人,和業務單位與資訊部門一起進行風險管理的工作,建立與推動資訊安全管理制度,規畫資訊安全教育訓練,以確保人員能夠執行資安責任。

同時,有資安稽核人員確認制度的落實、協助改善缺失;也會有資安分析人員,去進行弱點掃描與滲透測試等工作;最後,需要有人員去規畫重大資訊安全投資,或是協助審查資訊投資的安全性。

資安長不只要跟董事會報告,也須向全公司形塑資安意識

資安從原本不受重視,到現在,已經成為必須跟董事會報告的重要事項之一。查士朝以自身曾經擔任企業獨立董事的經驗指出關鍵,他說,對董事會成員或管理階層而言,希望聽到資安長報告最重要的事情就是:了解企業本身,是否遭到什麼樣重大的資安風險;另外就是,需要了解企業是否已經遭駭,而目前資安事件的處理狀況為何。

他也說,其他資安長需要向董事會報告的事情,則包括:是否有其他可能造成資安隱憂的事件,或者是希望董事會同意重大的資安投資項目。

查士朝表示,資安長在董事會報告時,不能只是點出問題所在,更關鍵的是,必須要可以提供相對應的解決方案,以及成本效益分析的結果報告。因此,資安長就必須有能力,針對所要推動的資安投資項目進行背書和說明。至於,其他資安檢查成果或是重要工作事項報告,則能夠以比較短的篇幅進行相關報告。

資安長除了做好針對董事會或是經營管理階層的向上管理外,也同樣要面對平行部門和下屬的管理。查士朝認為,對於資安部門的同仁而言,「創造一個讓同仁有成就感的工作環境」是重要的任務,這樣才能維持資安部門的穩定運作。

但若是面對其他部門的合作,甚至是擴及全公司同仁的合作,他認為,資安長就必須要展現其說服力和影響力,不僅可以做到和其他部門的協同合作,甚至要將資安意識的種子,深植到公司每個人的意識中,讓「資訊安全」成為全員工的事,而不只是資安長或資安部門的事。

產業資安長因應產業特性而有不同要求

不同產業對於資安長如何因應產業需求,都有不同的期待。其中,金融業是各個產業中,最早被金管會規範要設立資安長、成立資安專責單位的產業。查士朝認為,這是受到高度監管的產業,其資安長也是各個不同產業中,法遵要求最多也最複雜的產業,因此,了解相關法規、落實法遵要求,成為金融業資安長的第一要務;也因為各種法遵規範多,檢查法遵落實程度的資安檢查和稽核工作,也成為金融業資安長的日常。

高科技製造業是帶動臺灣經濟發展的重要產業,而傳統製造業則是臺灣產業發展的命脈,查士朝表示,不管是哪一種製造業的資訊部門,因為不是公司主要賺錢來源,都是要花錢的成本單位,資訊單位相對弱勢,往往都是要配合工廠需求而生;而毛利相對低的企業,在面對各種資安事件發生時,只能做到立即處理和因應。

若要預防的話,查士朝也說,比較好的方式則是,針對不同的資訊資產事先做分級分類,把資源做合理的分配應用;甚至,也可以事先把比較重要的機敏系統做網段隔離以確保安全,這些都是製造業資安長可以做的作為。

至於電子商務業,已經是臺灣服務業中,高度仰賴資訊系統提供服務,卻也是各種個資外洩、詐騙事件頻傳的產業。他指出,很多電商的服務會直接面對使用者,也同時面臨很多資安挑戰,保護客戶個資成為當務之急。

查士朝建議,對於電商業者而言,善用各種雲端服務資源,可以有效降低該產業的資安投資;如果能夠有足夠的記錄檔(Log),一旦發生資安事件時,就可以通知相關使用者做處理。

他也說,電商業者應該要做好分工制度,因為電商業者規模落差很大,很多小型電商甚至是十人以下微型企業的情況下,各個部門對於資訊技術也不甚熟悉,若面對業務單位要求資訊部門立即做很多行銷活動,或系統設定更改時,一旦爆發資安事件時,資訊部門往往力有未逮、不見得有能力解決。

因此,他認為,像是電商服務業的資安長最重要的任務則是「建立制度」,釐清各個部門的任務分工,資訊、資安部門的職掌也要清楚,面對資安事件發生時,資安部門也有能力透過各種Log檔去發現資安事件的根因,這才是電商業者資安長應該做的事情。

從專業能力考量是否由資訊長兼任,要有足夠位階與授權

面對金管會修法,要求各種規模的上市櫃公司,陸續在今年底和明年底設立資安長、成立資安專責單位,高階資安長也成為這兩年最炙手可熱的人才需求。

但查士朝提出務實的觀點,他認為,很多企業不見得一開始就會設立專責的資安長,通常會由其他高階主管兼任,最常見的就是資訊長兼任資安長。資安長通常會有特別的法律責任,經常被視為和政府單位的窗口和聯絡人,因此,資安長因為需要解決資安事件,也會被要求具備特別的資安能力時,資訊長若無法具備相對應的能力時,資訊長就不見得適合兼任資安長。

他指出,如果這個產業對資安長的要求是,必須完成一些資安稽核項目或做資安檢查時,資訊長兼任資安長就不見得適合,因為這些項目可能都是資訊部門開發或部署的,考量其資安稽核或資安檢查的獨立性,資安長獨立於資訊長之外或許是比較好的選擇。不過,他強調,資訊安全的工作一定是要資訊部門配合,因此,資訊長和資安長一定要能合作才行。

對於資安部門主管有時候會稱呼為資安官,和具有高階主管授權的資安長最大的差別就是公司職務的位階。如果說,資安長是副總等級,那麼資安官大概就是經理等級,因為職務位階而有不同授權,能夠做到的事情就會有一些差異。

查士朝認為,對資安長而言,最重要的任務就是讓企業高階主管有資安的認知,如果企業要做重大的資訊投資時,最好可以由資安長協助確認該資訊投資面臨的資安風險,也可以有效降低企業面臨的資安風險、提高資訊投資的效益。

來源鏈接:https://www.ithome.com.tw/news/150527