您在過去幾年常常聽到:不久的將來,所有業務都變成數位化業務,實際上說的就是軟體或 IT 公司,不論您身處哪個產業,每一件業務都與 IT 相關。
奇異公司 (General Electric) CEO Jeffrey Immelt 把奇異定位為數位產業公司。通用汽車 (General Motors) 預期 2017 年底將擁有 12,000 名 IT 員工,比 2012 年的 1,400 名大幅攀升。IBM Ginni Rometty 也已著手進行,她表示每個人都侃侃而談數位公司,但唯有放手一搏才能徹底轉型。
如果您考量 IT 肩負與日俱增的責任、資安問題和 IT 人員備受壓力,同時還有各自業務、預算、壓力以及審查業務增加等因素,就知道勢必要徹底改變部分事情。CISO 及其他安全部門主管不斷地問,「我如何評量公司真實的安全風險?我如何跟日益擴大的企業組織有效地傳達風險,並管理異常狀況?即使我成功做到了,我是否具備成功的技能、資源與工具?」這些都是關鍵問題。
研究策略與風險之間的關連
今年,IBM 贊助了由達拉斯州南方衛理公會大學 Lyle 工程學院 Darwin Deason 網路安全研究所進行的一項研究。研究人員與資安主管展開了 40 次的深度訪談,進一步瞭解安全投資策略與降低風險之間的關係。
CISO 仍擁有業務與預算上的資源,但缺乏具備適當技術的人才被視為執行業務的障礙,有時會耽誤安全性的投資與改善。
此研究也發現安全主管依賴以產業標準與最佳實務的客製化架構來排定風險的優先順序。這些架構已成為定義風險意識與安排投資優先順序的關鍵,也成為與公司主管溝通的工具。
安全主管角色的改變
IBM 安全團隊已追蹤此進展,並與 IBM Center for Applied Insights合作,端詳安全領導者角色的改變。2012 年我們找出了一群安全影響者,他們認為自身企業組織擁有積極主動的文化,也認為自己在成熟度與準備方面名列前茅。這些先鋒具有商業影響力和權威性,他們在自己的企業中舉足輕重,並關注降低未來的風險。
2013 年,我們的研究發現安全主管一直在遵循業務、技術與評量等重要實務。我們建議安全主管將強大的策略與全面的風險管理結合,並與資深主管建立信任關係。他們必須維持基本的安全技術,但無須犧牲更先進與重大的功能。
去年我們關注能強化未來的最佳實作,其中包括強化雲端、行動及資料安全性、加強教育與領導技能、擴大外部合作,以及規劃多項政府方案。
我們甚至到高等教育機構及訓練新一代安全專業人員的機構進修。教育人員表示他們必須教育出各種專長的專家,讓他們能夠對攻擊者進行預測與行為分析。學生必須接受訓練以促進技術與業務之間的關係,其課程必須納入新興的技術,例如物聯網 (I oT)。
CISO 扮演重要的角色
我們看到此研究有許多相同的主題:策略性重點、全面檢視風險、強大的溝通能力,並擔任 IT 與業務需求之間的中間人。
無疑地,資安主管與其他安全主管的重要性與日俱增,公司主管必須向他們諮詢。安全主管即為風險領導者。如果每家公司有天終將成為數位化公司,那麼安全主管必須讓其公司有信心投資於此,不容許有半點疑慮而抗拒這項轉型。