KLC Consulting顾问公司总裁暨资安长赖弘伟表示,资安长应培训自己的团队,让成员不要经常对业务单位说不,否则久而久之,业务单位会绕过资安团队,让资安工作更难落实。
在KLC Consulting顾问公司担任总裁暨资安长的赖弘伟(Kyle Lai)拥有25年资安工作经验,不只在美国国防部和微软、Zoom、波音、PwC等大型企业担任资安顾问,也累积不少与财富500强企业资安长的交流经验。他日前在台湾资安大会上点出,资安长们目前面临4大挑战,包括领导决策、培养业务思维、风险管理,以及技术应用管理。
资安长的挑战
进入主题前,赖弘伟先是秀出一份2024年资安现况报告,该报告由美国资安公司Splunk发布,统计近2年企业最常遭受的资安事件,像是资料外泄(52%)、电子邮件诈骗(49%)、勒索软体(48%)和DDoS攻击(46%)。
「这份清单非常有用,」他表示,不只列出10多项常见的资安事件,也显示资安长们的工作重心—防范这些资安事件。当然,资安长的任务不只这些,还包括其他形形色色的工作内容,如事件回应、建置零信任架构、法遵法规遵从、渗透测试、第三方风险管理等林林总总数十项。其中,赖弘伟认为,资安长工作中所面临的最大挑战是领导决策、培养企业业务思维、风险管理,以及技术应用管理。
挑战与建议1:领导决策
就第一个挑战来说,「资安长是个企业管理职位,而非技术职位,因此资安长必须与董事会立场一致。」赖弘伟表示,资安长首先要理解公司的营运方式,也就是公司如何赚钱、靠哪些产品或服务获利,以及公司有哪些客户、如何与客户沟通,此外也得掌握供应商资讯,如公司如何与供应商沟通等。「对公司业务有了基本理解,就能建立符合业务需求的安全流程,」他说。
再来,资安长必须要与公司内部关键的管理人员,建立强健的关系和信任,比如法律顾问、人资部门、财务长等。尤其资安长想推动资安意识培养或新政策时,人资就能协助传递这些讯息,而财务长则能协助批准预算,甚至能提供资安长更多公司营运的资讯。另外,与关键业务部门的负责人建立关系也很重要,因为,当他们想引进新技术时,资安团队就能在第一时间给予协助。赖弘伟也表示,资安长也要培训自己的团队,让成员不要经常对业务单位说不,否则「久而久之,业务单位会绕过资安团队,让你的工作更难执行。」
还有一种方法是建立前后辈指导资源,可细分为2种形式。一种是针对资安长们,如透过资安长社群资源,藉同侪交流来得到新状况的解方;另一种是对资安团队成员,提供指导资源,来让团队与时俱进成长。
最后一种方法是建立资安和学习文化。赖弘伟以自己为例,他在辅导美国国防部时,必须让7名成员在90天内考取特定的资安认证,否则就会被辞退。为实现这一点,他们抽出周末来读书、学习,最终在期限内达标,团队的学习文化也因此建立了起来。
挑战与建议2:培养业务思维
资安长面临的第2大挑战是商业头脑,也就是培养企业业务思维。赖弘伟给出3个建议,首先是了解财务知识,尤其资安长是企业管理职,若参与董事会会议,就得花时间讨论公司业务与财务,因此得先了解财务知识如损益表、资产负债表等。另一个建议是与业务单位讨论时,不要使用技术词汇,尤其是在会议中,资安长只有几分钟能表达,因此应开门见山、进入正题,并以白话方式与沟通。最后一个建议是认清目前的状态与期望目标,并规画实现方法。
挑战与建议3:风险管理
风险管理是资安长的另一大挑战。赖弘伟点出,资安长可从理解法规、建立资安框架和风险注记机制、制定详细的事件回应计划,以及供应链风险管理等4点来因应。
就理解法规来说,资安长得与法遵部门联手,来找出影响网路安全的规范。就建立资安框架而言,资安长可推动取得ISO 27001认证并遵循该方法,但若资安长任职的企业属严格监管产业,则建议使用美国NIST CSF网路安全框架。因为该框架基于成熟度来划分,且具备适当的信心结构,如此,资安长与高阶管理层沟通时,就能使用该框架。
至于事件回应计划,则得涵盖软体、勒索软体和供应链等类别,比如遭受勒索软体攻击时,由谁来决定支付赎金、支付与否的政策为何、最终由谁支付等回应计划。最后,资安长得认识公司的供应商,「至少要了解保密性,比如公司与供应商交换哪些类型的资讯,以及可用性,比如供应商停工一周,公司能否承受此举带来的损失等问题。」赖弘伟表示,资安长可依此找出对企业至关重要的供应商,并派人去了解供应商的资安状况,落实监管与合规。
挑战与建议4:技术应用管理
对资安长来说,还有一项技术采用管理的挑战。面对这个挑战,资安长可密切关注新技术发展,比如近年兴盛的生成式AI,再来是与业务和IT团队紧密合作,尤其企业业务团队一定会尽早尝试这些新技术,因此资安长得在业务团队尝试之初,就加入业务与IT团队的讨论,及早辨识风险和漏洞。赖弘伟表示,若资安长在业务和IT团队引入新技术后才参与,就很难确定风险、失去与开发该技术的供应商的谈判优势。
最后,他建议,资安长可与供应商讨论新工具,来因应新风险。甚至和资安创投交换意见也会有帮助,「因为他们对新创公司投资,势必研究过特定领域和解决方案,」这些资讯能帮助资安长更理解一家供应商及其提出的解方。
除了上述4大挑战和建议,赖弘伟最后也补充,对资安长角色的监管法规将会出现,资安长也该向公司要求承保董监事及重要职员责任保险(D&O)来保护自己,如此就不必为每个决策过度提心吊胆。