企業搶納 CISO(資安長) 資安治理該何去何從?

◼作者:趨勢科技台灣區暨香港區總經理 洪偉淦

趨勢科技台灣區暨香港區總經理 洪偉淦

面對日趨嚴峻的資安環境,金管會修法要求千家上市櫃公司於今年或明年底前增設資安長並成立資安專責團隊,以強化企業資安管控機制,如今設置資安長已成為企業的當務之急,對於多數企業而言,除了直接面臨去哪裡找人的困境,在相關職務設立之後,資安長又該肩負起哪些執掌、扮演什麼樣的角色,則是多數企業急於釐清的問題。

對企業來說:資安不只是技術問題,更是風險管理問題


後疫情時代,企業正面臨一波波數位變革,紛紛透過更新穎的技術與服務來獲取競爭力,卻同時擴大了網路犯罪分子的攻擊面。近年來精密、大規模的惡意攻擊越來越多,光是去年,趨勢科技就為全球客戶攔截了超過940億次的惡意威脅註一,如今大環境資安情勢日益嚴峻,資安事故對企業營運所造成的衝擊力道大大升高,然而現今絕大多數的企業卻仍只將資安視為純粹的「技術議題」,覺得只要購買了資安解決方案、或是資安建設符合基本法規就已足夠,卻不明白技術如果沒有搭配良好的管理政策,將形同虛設。舉例來說,在過去許多企業受駭的案例中,深究其背後的原因,其實時常是來自於員工沒有落實公司的資安政策所導致,在這樣的狀況下,即使採用最好的資安技術,但沒能貫徹資安管理,企業資安的防護機制仍存在破口。因此,企業的當務之急,必須要將資安問題從技術層面拉升至管理層面做思考。

讓資安風險可防可控才是資安治理的合理目標


為了有效管理資安風險,實現從上至下良好的資安治理,資安長一職就顯得相當重要。過去,企業對資安長的期待是要能完全避免發生資安事件,然而這在如今商業經營的真實環境中實在不太可能達成。事實上,當全新型態的資安威脅從四面八方席捲而來,資安事件的發生將不可避免,如何讓資安風險可防可控、讓影響在可控制的範圍內,將是企業實現良好資安治理的重要關鍵思維。

資安風險「可視性」將成企業資安治理的關鍵


良好的資安治理從風險掌握開始,資安長要能通盤掌握企業內部資安風險,理解現階段需要被防守的範圍有哪些,以及目前實施的效率和程度有多高,才能進一步規劃妥善且有效的資安風險管理政策。建議可藉由以下三個階段著手:

  • 第一階段 盤點風險:

釐清目前企業遭受的攻擊的介面有哪些,企業資訊系統目前的狀況如何,有哪些已經是在被控管及防守的範疇當中,哪些沒有?

  • 第二階段 評估防禦力:

評估目前防守的有效性如何? 防禦範疇內的資安風險度有多高? 是否需要增加補強措施?

  • 第三階段 回應風險:

在了解與定義出上述企業資安風險面向後,如何針對高風險的部分減緩或轉移?

想有效應對資安風險,經營團隊所需要的關鍵資訊就是「可視性」!必須清楚掌握目前企業被攻擊的介面有多大,知道攻擊介面後,才可依此定義防守範圍與缺口。整體而言,企業需要具備更強大的資訊情報網,來幫助資安長擁有更全面的風險掌握能力,快速理解資安的防守範圍與部署程度,方能使企業得以安全且永續的經營。

從量化風險到實際案例分享,有效提升企業資安與營運團隊的溝通效率


想要做好資安治理,資安長如何獲得營運高層的支持也至關重要。資安長必須具備與企業高階經營團隊溝通的能力,取得管理階層的支持,讓董事會及營運高層充分了解企業運作上可能面臨的資安風險及其嚴重程度,讓經營團隊可以衡量如何在業務跟資安間取得平衡,以及為了降低風險,企業可以採取哪些對應與轉嫁風險的措施。

根據趨勢科技全球資安風險調查報告指出註二,台灣僅有41%的受訪者認為公司內部充分了解「網路資安風險」與「網路資安風險管理」,受訪者也認為「資安議題複雜且變化多端的特性」是IT決策者認為企業高階管理層不了解資安風險的主因,顯示出台灣的資安長正面臨著如何向企業高層爭取支持、並且有效讓他們了解資安風險的困境。對此,我認為資安長如果能試著依照各個產業或公司業務型態的差異,描繪出各別的資安風險情境,對於更有效地使營運高層了解企業實際運作上可能面臨的資安風險及其嚴重程度將會有很大的幫助,並有助於進一步獲得實現資安治理所必要的支持和資源。以下提供兩個方式來協助資安長描繪資安風險 :

(一) 風險控管量化風險 :


如前所提,資安是一項風險控管的議題,而風險是「危機造成的損失x危機出現機率」的相乘結果,建議資安長可以回歸風險管理的本質思考,包含如何降低企業損失或是降低資安危機發生的機率這兩大面向,對於囿於實務難以再降低的資安風險,則可以考慮其他方式轉移其剩餘風險。唯有當資安長將資安風險更為具體描繪出來,方可以讓企業經營團隊更容易理解企業所面臨的資安風險,也因而才能給予支持投資更多心力與資源在資安建設上。

(二) 相關產業案例分享 :


沒有面對過資安事件的企業高層往往對資安威脅對企業營運可能造成的直接及間接損害難以想像,因而低估了資安事件發生後所需要付出的成本。事實上,資安事件發生後,不只是資訊、資安部門要處理,內部其他部門包含法務、公關、業務及風管部門等,都需要投入心力協同處理,諸如包含許多來自客戶或主管機關與監管單位所提出針對是否違約、合規甚至事後強化的各項要求,皆非資安長一人之力可以完成。建議資安長在平時即可以透過相關產業的資安事件案例分享,讓企業高層理解資安風險將會由整個企業經營團隊承擔,也可以透過邀請外部資安專家分享與解析,讓企業高層盡可能感同身受,了解到事後處理資安事件所付出的代價將遠遠高於事前預防的投資。

最後,我想再次強調資安是一項風險控管的議題,企業在追求數位轉型之際,如何在可控制的資安風險範圍內,提高生產力與資安營運效率,將是企業資安治理的關鍵要點,也是資安長對企業所有利益關係人 (stakeholders) 可以提供的價值。

註一:趨勢科技 2021 年資安總評報告,報告內容請參考 : https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/navigating-new-frontiers-trend-micro-2021-annual-cybersecurity-report
註二:趨勢科技委託 Sapio Research 訪問了來自 26 個國家、員工人數超過 250 名的企業,共 5,321 名 IT 與業務決策者,報告內容請參考 : https://www.trendmicro.com/explore/en_gb_trendmicro-global-risk-study

◼ 本文原刊載於CIO IT經理人雜誌