前陣子與一位資深安全官碰頭,他有超過20多年的企業安全管理專業經驗,歷練過國內外大型企業在台最高的安全主官之職位,從他最近訴說著對於台灣資安發展過程現象中的觀察,我再次聽到許多深入的見解。如今,我整理出精華片段與大家共享。
在這一個多小時的對話中,其中最精闢的內容則是他對於Cyber security 防禦觀念的定義。
他以白話詮釋了安全工作的難處:
『資源有限 vs 老闆欲望無限、主管機關要求無限、外界變化無限』
以下我則列出三個問題,以直接問答(Q&A)的方式分享給您們。
【問題一】
Q:Cyber security 與Information security有何不同?
A:可分以下三點來談:
第一、Cyber security 是對抗cyber crime(網路犯罪)、對抗惡意攻擊;Information Security範圍較廣泛且重點在於預防,防天災與防人禍,是屬軟性的規勸與引導。
第二、Cyber security是 defense(防禦)猶如打仗,這不是僅僅法令遵循,而是必須全力將資源集中在必要的工作內容上,效率的發揮或成果是所有工作的核心,屬剛性,硬碰硬的行為。
第三、Information Security是建立基礎,但缺乏明顯的專注方向與範圍;cyber security則是APPRR( Asset, Prevent, Protect, Response, Recover),非咬文嚼字、紙上作業,而是需要會打仗的人。
意即Cyber security勢必要與企業組織相關業務更為緊密結合,並統籌有限資源及擬定明確方向,就像打仗般目標明確。因此,如何掌握必要的技術與資源,將是負責企業組織安全的人員無法迴避的課題。
【問題二】
Q:如何看待即將通過的今年四月份行政院資通安全處所提出的「資通安全管理法」?
A:長遠是好的,但實務上對安全從業人員而言,多了更多的paperwork(文書工作)。安全實作人員與法律人員彼此積累長存著想法上的基本差異,將會是一個未來可留意的。實作的安全人員,側重在「目的解釋」;反之,法律人員則側重「文意解釋」,逐字解讀法條,但這樣可能反而容易忽略真正重點。因為,法條通常用字精簡,如果主管機關能多解釋條文,如此,才能導向正確工作方向。或是透由公會來解釋或建立行業標準,這些都可以為法條帶來實質的引導作用。 畢竟法律的精神是看目的,而非條文本身。
除了法條之外,另一個值得關注的重點,在於主管機關可以培養、訓練出 夠專業的稽核官員,無論平時的查核或是出事後的檢查,稽核官員都可以協助企業或單位,做出正確的回應與恰當的補強措施。
【問題三】
Q:最近金融業內部建立資訊安全官(CISO)的職務有增加的傾向,企業提出了一個疑惑,如何面試CISO?
A:我認為CISO的職責是:
1. 在企業組織內建立管理架構,包括管理制度、作業流程。
2. 在企業組織內塑造安全文化。
3. 其本身需具備鑑識風險的能力。
4. 其本身需具備提出solution(解決方案)的能力。
對於成立一個專責部門來說,一樣也需要視階段性而有所不同的規劃。首先必須要先確立,安全是CEO的責任,安全人員是協助CEO搞定相關工作及問題。如果各階層、各部門都重視安全,也許就不需要一位專責CISO。但是,多半長見的是企業內部資安工作不成熟時,先集中任務交給一位CISO,經過一段時間的內化後,再分散多一些資安工作出去;然後再集中、再分散,如此持續調整與修正直到各部門對資安工作都已熟練,CISO便回歸到上述四大重點之職責。
以上,三個問題則是歷經一個多小時與他的對話內容,從這裡我深切感受到,無論是老闆欲望無限、主管機關要求無限、外界環境變化無限,當任職為企業組織單位中一位專業的安全人員,對於資源有限的認清、掌握與運用是要帶著具有Cyber security的防禦,做戰的精神力來迎戰,我們大家共勉之。