做一位資訊安全長(CISO)並不容易。一方面要無時無刻的面對董事會的難題 – 要求著不存在的額外預算,試圖對「非技術」對象闡明商業方面的安全威脅。然而當資訊安全長的資源保持不變時,威脅環境本身卻是千變萬化,日新月異,由日益靈活彈性、資金雄厚且進階的敵人來執行。在這些角度來看,資訊安全長可能是現代企業中最具挑戰性的角色之一。
只要漏掉了一次,你的組織就可能出現在明天全國媒體的頭條
在2014年問任何一位資訊安全長關於他們持續的關鍵挑戰是什麼,大多數會提到技能短缺。根據去年對ISC2的年度全球資訊安全從業人員研究顯示,有大約56%的受訪者認為這產業有人力短缺的問題。技能差距也是個長期的問題,特別是在新的領域,例如自帶裝置(BYOD)和雲端運算。即使有出現熟練的專業人士,CISO們也經常抱怨並沒有足夠資源來吸引這些人才。
還有管理問題。CISO們經常發現自己跟他們的資訊長(CIO)意見分歧,CIO想要推動更廣泛的資料存取,更好的效率,彈性和財務報表。然而,這些都可能會增加IT風險。想要滿足這些要求而又同時繼續阻止風險是場持久戰,而且常有人會低估資訊安全長在確保組織開展業務的安全上所做的努力。
安全主管們一次又一次遇到的問題是,跟其他IT領域不同,現在他們所做的事情根本沒有投資報酬率。這一方面讓他們很難說服董事會需要額外資源。同時也和壞人們有著顯著的對比,壞人們可以從投資網路犯罪上獲得巨大的回報。他們只需要成功一次,但是資訊安全長必須要在100%的時間都正確。只要漏掉了一次,你的組織就可能出現在明天全國媒體的頭條。
來自雲端和行動運算的額外風險
雪上加霜的是來自雲端和行動運算的額外風險。在同樣一份ISC2調查中,全球有超過12000名安全專業人士認為自帶裝置和雲端都是主要擔心的事情。在工作場所使用員工自有設備和雲端服務不僅會增加組織受攻擊的面向,也限制了資訊安全長發展深入防禦策略的能力。行動應用程式的風險尤其高。無論是公司內部購買或開發,往往都沒有經過小心的編寫,也沒有充分進行 OWASP Top 20 的測試來消除漏洞。
另一個增加攻擊面向的因素是第三方合作夥伴,像是管理服務供應商和律師事務所。跟他們的通訊是業務上必不可少的事情,但他們往往是最脆弱的環節,如果被攻擊者當作目標,就可以成為踏腳石進到更大的組織。 繼續閱讀