Ricoh USA, Inc. 企業與資安副總裁暨資安長 (CSO) David Levine 分享他對強化企業內部資安觀念的看法以及雲端優先的策略如何讓該公司營運順利邁入「新常態」
正當各行各業都在經歷劇烈轉變之際,企業 CXX 高階領導人應重新檢討自己的資安與技術架構是否足以因應。為了保護客戶並提升遠端工作人員的生產力及可用性,高階主管紛紛尋求可用的技術方案,例如導入雲端服務。
隨著疫情持續延燒,企業被迫必須實施在家工作的政策,越來越多企業都開始覺得有必要在永續性、安全與行動化方面做出改變。更重要的是,無論企業大小,這樣的改變都將為決策者帶來新的挑戰與契機。
Ricoh USA, Inc. 企業與資安副總裁暨資安長 (CSO) David Levine 對於該產業的演變早已司空見慣,包括網路資安與網路犯罪活動的演進,以及企業治理的觀念需要逐漸擴散到企業的各個層面。Levine 在該公司任職已有 25 年之久,憑著他在 IT 與資安產業的多年經驗,他對企業內的許多職務都不陌生:工程與專案管理、資安、基礎架構、網路中心、營運、法務支援、企業管理、存取管理、實體保全、電子化搜尋 (eDiscovery) 與訴訟支援等等。
而這些年來,Ricoh USA, Inc. 也逐漸發展成一家文件管理解決方案、IT 服務、商用與工業列印、工業系統的領導供應商。近年來,該公司更導入雲端優先的方法並擁抱服務式 (as-a-service) 雲端環境。Levine 目前負責帶領該公司的全球虛擬資安團隊,該團隊的成員遍及日本、亞太 (APAC)、歐洲中東與非洲 (EMEA)、美洲等地區。他與趨勢科技分享了他們的企業如何透過強化資安優先的觀念、管理風險並教育員工來擁抱行動化。
改變資安錯誤觀念
今日,資安已被視為企業成功的關鍵要素,因此,遠距工作已變得更為容易。但在過去,資安團隊大多被視為後勤支援的角色,而且很多時候還被當成「絆腳石」,因為他們總是在最後一刻指出一些早在解決方案部署之前就該解決的問題。
就 Ricoh 而言,要改善資安就必須做出許多變革,包括:修正錯誤的組態設定、轉換看事情的角度、解決一些既困難又與營運無關的問題、持續的教育訓練、培養自給自足的資安法規遵循能力。最終,資安的角色應變得更受重視,同時也扮演更大角色。
除了提倡在專案規劃或開發階段就擴大對話之外,更進一步的就是要推動一種所謂的 DevSecOps 文化。Levine 的團隊就是要促進這樣的資安觀念轉變,尤其是要讓人們不再將資安視為解決方案部署的絆腳石。Levine 強調:「如果您到第 9 個小時才讓資安團隊參與,那麼我們已經先處於不利的地位。所以我們一直在拼命宣導,如果讓我們越早介入,我們就越能提供幫助。與其讓我們最後一刻才進來成為絆腳石,不如讓我們一開始就成為助力。」
然而,要從一開始就讓資安團隊介入,不能單靠資安團隊的努力,Levine 還要轉變 IT 與業務部門同事的觀念。業務部門的主要重心在於滿足客戶需求,讓服務更容易使用。但資安團隊的參與可以促進對話,讓業務與開發團隊了解,他們所提供的功能有可能如何遭到歹徒利用。經由這樣的轉變,人人都能對資安做出貢獻:調整一下看事情的角度,思考一下當初可能沒有想到的細節與管控,如此就能降低風險,並預防問題發生。
電子化安全 (eSecurity) 未來仍是企業的首要工作,尤其在遠距工作慢慢成為「新常態」之後。在這樣的情況下,為了確保企業營運的安全,Ricoh 立即著手評估他們需要做出哪些改變 (不論是暫時或永久性改變) 來確保業務的順暢,維護客戶的隱私權。Levine 補充說,適當的資安技術和工具 (如趨勢科技解決方案)、進階端點功能,以及其他筆記型電腦解決方案,這些都是該公司能順利轉型的重要因素,同時也讓他們對自己的資安防護與可視性感到安心。
除此之外,Levine 更指出,在新的工作環境下,使用者教育也扮演了相當重要的角色。例如,企業必須隨時提醒使用者,使用家用網路有別於坐在辦公室內,而家庭成員也不曉得哪些是公司的資產:「整個資安拼圖當中最困難的一塊就是人,人既無法預測,也永遠會是一大難題。所以我們特別強調教育的重要性,並且努力告訴使用者,在資安方面,他們與我的團隊一樣重要。他們日常的每一個動作都很重要,因此需要隨時記得資安這件事,而不是將資安當成某一團隊的責任。畢竟,這是每一個人的責任。」
雲端優先的策略與擁抱行動化
Levine 表示其公司採取雲端優先的策略已有一段時日,並且投入了大量的心力進行數位轉型,而這兩者在他們面對遠距工作模式這個同樣重大的變革時顯然發揮了正面的作用,讓移轉相當平順。除此之外,儘管他知道產業的趨勢會不斷循環,但在可預見的未來,他不認為人們會走回資料中心的老路。
雲端的彈性、可用性、採購便利性以及擴充性,都能讓行動化更輕鬆達成:「主機代管、雲端與 SaaS 環境將永遠存在,因為它們具備許多天生的優勢。這年頭,為何需要打造並經營自己的資料中心呢?」Levine 更進一步指出,節省成本通常不是其中一項優點,但在其他效益的帶動下,成本也不會是一個阻礙企業朝此方向發展的因素。
Levine 指出:「隨著我們的雲端策略與雲端資安計畫更加成熟,我們會讓 Ricoh 內部採用雲端的團隊在執行、管理、隱私權與資安方面擁有一定的自主性。不論是教育使用者、確定他們擁有必要的工具和認知,或是直接協助他們,這是一項必須面面俱到的工作。只要方法正確,並搭配適當的資安防護,雲端就能提供絕佳的效益,但就如同其他任何事物一樣,正確的建置與維護是必要條件。
第三方風險與雲端
除了保護您自己的雲端/SaaS 解決方案之外,企業還必須密切監控其所使用的解決方案。雲端資安是一項共同分擔的責任,有些管控與治理措施是主機代管廠商的責任,但有些則是解決方案供應商所該承擔的。Levine 指出:「我很訝異,到了 2020 年,還會看到有企業將其解決方案移到大型主機代管廠商的環境之後,因為廠商具備完整的資安與企業治理認證,所以就認為自己很安全。不幸的是,廠商只能承擔一半的責任:企業還是必須負責保護自己放到該環境內的解決方案。」
所以,企業必須建立一套良好的流程來評估其所使用的解決方案是否安全,不論由內部自行評估,或者由外部廠商代為評估。
未來之路
Levine 與其團隊最近找了一家第三方廠商來對其雲端環境的成熟度進行檢驗,目的是要發掘流程與解決方案是否有任何潛在漏洞。這項評估的結果將有助於提升整體資安並降低風險。其中一項與員工教育訓練及自助式服務有關的評估結果是一份資安檢查表,這份檢查表可主動提供各團隊在雲端專案開始時自我檢查,也可被動用來記錄現有解決方案的成熟度。
當在評估解決方案時,Levine 表示:「現有的廠商 (如趨勢科技) 是我們評估的重點,他們提供了一些我們已經建置並熟悉其介面的領先雲端工具。我比較傾向擴充現有的解決方案而非增加新的解決方案,除非換新是最佳選擇。」由於企業可能運用並結合各種不同解決方案,因此,資料與警示將可簡化其環境並改善效果。
主要重點:
- 改變觀念。讓資安團隊及早並經常參與,進而建立合作關係,避免資安團隊成為障礙。
- 員工教育。不論是教育員工如何從歹徒的觀點來看待某項功能,或是提供自助式工具和流程給員工使用,其結果都能提升資安並改善員工關係。
- 配合第三方廠商。即使在今日仍有許多個案中的企業誤以為光靠主機代管廠商就能確保其安全。不過,企業也要確定他們所請來的第三方廠商能真正抓到他們雲端/主機代管解決方案的問題核心,如此才能做出正確的風險判斷。
- 善用現有廠商。當您需要新的雲端解決方案/工具時,盡可能善用現有的合作廠商,如此可提升效率與整合度。
原文出處:CSO Insights:Ricoh USA’s David Levine on Employing a Cloud- and Cybersecurity-First Strategy