資安長(CISO)如何在 15 分鐘內,向董事會說明雲端風險?

趨勢科技資安研究員 Erin Sindelar 詳細解釋三種常見的雲端風險評估方式來協助資安長與資安領導人向董事會說明雲端資安風險。

資安風險的質化與量化一直是資安長 (CISO) 的一項挑戰。當您的基礎架構就在企業內部,而且您知道自己有什麼資產,並且知道資料都存放在哪裡時,這件事就已經是很難了。更何況隨著企業移轉至雲端,數位受攻擊面持續擴大,不僅基礎架構變得分散,而且企業內還有許多自主管理的雲端資源,這件事將變得難上加難。

為了協助資安長更簡單扼要地向董事會說明企業的雲端風險與資安情況,我們設想了一個問題:「如果資安長要用 15 分鐘的時間跟一張投影片來向董事會說明,那麼資安長該如何讓董事會了解企業的雲端風險?」

對資安長來說,這真是個大哉問,網路資安的影響層面太大,甚至超越了運算與內部應用程式,這基本上是雲端的一項挑戰。根據我們和客戶接觸的經驗,雲端風險的評估主要有三種方式。

評估雲端風險的三種方式


📍第 1 種方式:傳統方法

歷史悠久的企業在資安方面大多也投入了很久,甚至還擁有專門的法規遵循部門幫他們研究 CSANIST 之類的傳統框架。

這類框架可提供諸多優點,資安團隊可將他們慣用的傳統模型和框架直接套用到雲端基礎架構。

如此,資安長就能拿著 NIST 或 CSA 紅/黃/綠燈評估結果直接向董事會報告。如果董事會原本就熟悉這類框架,那麼一看就了解評估結果所代表的意義,無需太多解釋。

許多大型顧問公司就是使用這類框架來提供雲端評估報告。有些從雲端起家的公司同樣也提供這類評估,但這些公司只能評估雲端的基礎架構,不適合採用混合式基礎架構的企業。

此一方式的主要挑戰是:

  1. 不夠靈活 (意思是:緩慢又跟不上雲端開發的速度)。
  2. 需要大量人力資源,在目前網路資安人才持續短缺的情況下,這會一直是個的問題。同時對於原本負擔就已經沉重的資安團隊來說,這會耗費他們寶貴的時間。最後還有一點是,如果聘用第三方顧問來做的話,費用昂貴。

📍第 2 種方式:自己動手做 (DIY)

一些雲端基礎架構和流程已經成熟的企業,會選擇自己做雲端風險評估。這方式對於缺乏資源來有效管理及監控所有資安技術與關鍵資產的企業來說,相當具吸引力。

這些企業正處於發掘所有雲端關鍵基礎應用程式與資料的過程。對企業來說,這過程就像是一種私密的自我對話,一種自我放大檢視,將雲端營運 (CloudOps) 團隊集合起來一起討論所有細節。這項對話必須從發掘著手,發掘應用程式、資料及使用者,然後根據企業的數位受攻擊面來執行評估。

某些公司正在建立一些較為制式的模型來販售,這對一些需要雲端優先模型但卻沒有人力自行開發的企業來說,也許有吸引力。

此一方式的主要挑戰是:

  1. 會讓 CloudOps 團隊與其他基礎架構團隊分開,對風險評估來說不是個長久之計。一個混合式環境的兩個不同部分或許一開始可以各自探索,但這應該是一種短期模式,否則未來容易造成資安上的漏洞。
  2. 一開始或許很快就能動起來,但卻需要動用大量開發人員將模型實際開發出來,並對應到整個基礎架構。許多企業的人力早就已經吃緊,所以這是企業必須面對的最大挑戰。

📍第 3 種方式:低可視性風險評估

某些企業在雲端開發方面或許已經發展到一種任何集中監督或管理都無法大規模執行的地步。就某種程度來說,此方式是前兩種方式的延伸,因為對於雲端投資龐大的超大型企業或分散式企業來說,這方式也許很合適。

這種方式對於無法徹底掌握其所有開發人員的工作內容、也無法完全掌握其資產設備或是誰在負責營運的企業來說,也許有吸引力。但不論如何,從資安的角度而言,您還是必須將所有被啟用的新資產全都找出來,才能將它們納入評估。

第 3 種方式能夠接受雲端開發就算沒有集中監督也能維持下去,所以要導入自動化來加以彌補。此處的自動化非常關鍵,因為所有啟用雲端資源的團隊不會先跟主管確認他們正在做的事情。

像這樣的企業在 DevOps 流程當中投入了大量成本,並在流程中加入一種自我註冊的機制來解決雲端風險評估的問題。

這種方式的主要挑戰是「自主管理的運算」。資安領導人必須對工作流程有深入了解,並要求各方同意採用這種自行註冊資產與應用程式的運作模式。開發部門必須有人支持這樣的想法,並在整個 DevOps 部門推動這套模式,確保所有人都同意且願意配合。

向董事會說明的七個要點


要決定您的企業適合哪一種方式,首先您必須回答幾個問題。第一個問題就是,您是否已經完全移轉到雲端,或是還在移轉的早期階段。另一個問題是您的內部資源:財務、人力或企業上的挑戰,哪一種您比較能接受?

不論何種方式,一開始的評估過程都會非常辛苦,但最後的成果卻是值得的,您將獲得明確的成果可以向董事會呈報。

對於風險,董事會最關心的就是財務衝擊,包括違反法規的衝擊。其次就是您企業發生資安事件的風險如何。另外還有一項風險以外的因素,那就是:董事會非常懂得財務衝擊和風險。

要計算財務衝擊並不容易,但還是可能做到:

  1. 📍別只引用末日情境,要提出多種不同衝擊程度的個別情境,例如,除了全公司遭勒索病毒Ransomware感染的情況之外,還要提出只有部分營運受到勒索勒索病毒影響的情況。
  2. 📍仔細挑選您的參考數據,資安人員向來不擅長預測財務衝擊,請跟您公司自己的財務狀況做比較,但要挑選一些較有意義的數字。例如,提供某家特定公司的數字來說明違反法規的潛在成本。這會比使用籠統的「GDPR 罰鍰平均成本」來得好,因為後者並未針對特定產業、企業規模、或違規的類型。向您的財務部門尋求協助:將他們變成盟友,而非敵人。
  3. 📍預先設想自己會被要求對任何假設詳細說明,例如:復原時間。如果您無法流利地說明這些假設和資料,那就別將它納入,或者在引用時加註一下它們的缺點。
  4. 📍有關防範措施的潛在成本計算要務實,別刻意低估潛在的最終成本。董事會的每一位董事都知道 IT 專案總是會超出預算,而且資安是昂貴的。所以最好一開始就直接列清楚,不要事後才來大幅超出預算。
  5. 📍將數字依照董事會成員的認知來細分,別只提出一個很大的數字,這樣只會讓人專注在這個數字上,使得真正風險相關的討論失焦。提出您的計算方式,並且按時程細分:第一年的產品成本、為期 5 年的維護與支援、隨著業務成長的建置與擴充成本、附加模組與升級、人員的全部成本 (不單只有薪水)、教育訓練與認證,然後再外加一定比例的額外成本來應付一般常見的突發狀況。
  6. 📍別害怕將財務評估納入附錄當中,但如果您這麼做,請務必提供一份高階摘要。
  7. 📍切勿包含有關股價衝擊的資訊,除非您真的準備踏入這個深淵,並準備回答為何某家公司在發生嚴重資安事件之後股價反而逆勢上漲。

視您所選擇的風險評方式而定,您將用到一些相對性的詞彙來定義風險。董事會不會自動了解這些詞彙的意義,或者,至少不是每位董事對這些相對性的詞彙都有相同的解讀。但如果用金錢來說明,那麼在座的每一位董事應該都能有相同的認知。

當您在傳達風險評估的結果與風險的財務衝擊時,同樣重要的一點是提出「為何」:為何選擇這種評估方式、為何風險會是低、中、高等等。

藉由回答「為何」的問題,接著就能談論「下一步」該如何:當計算出來的風險高於可接受的程度時,下一步該怎麼做,以及這些步驟會需要些什麼。您最好的辦法就是明確扼要地說明當前的現況,讓在座的每位董事都能設身處地了解您所認知的風險,進而創造一個最有利於降低雲端風險的情勢。

想了解關於評估與管理網路資安風險的更多資訊,請參閱以下文章:

原文出處:How to Present Cloud Risk to the Board 作者:Erin Sindelar