跨國企業AMI(美商安邁科技)自2019年為HGGC收購後,將資安視為第一優先,重新定義企業治理架構。對網路釣魚、資料外洩等資安威脅,AMI有多種不同安全措施降低風險與影響,也針對韌體的弱點進行管理,整合企業及跨國分公司的全方位防護計畫。
AMI資安長Samuel John Cure 表示,身為一家韌體公司,AMI以「零信任架構」(Zero Trust)為資安原則,採用獨特的治理架構。「AMI 用資安長(CISO)管理資訊長(CIO)與IT部門的反向組織架構,改變資安長在國際公司角色。利用該架構確保安全為公司第一要務,也確保在所有IT活動中也能遵循。這與傳統缺少以安全作為優先的架構略有不同。」
在AMI,CISO 可以直接匯報公司CEO、直接提供報告給董事會、直接管理資訊隱私辦公室(Data Privacy office)以及IT部門,並控管架構(Control Framework): Zero Trust 原則植入AMI的安全控制架構,安全最佳原則控管則植入全球資訊安全計畫之中。
從IT營運而言,資料外洩是公司最大挑戰之一,而資料外洩保護計畫(DLP program)依賴最好的資料分類與資料流,才能發揮效果。Cure說,AMI有一個專責的資訊保護辦公室(data privacy office)直接彙報給資安長,確保資料與資料流受適當保護。
負責AMI全球網路安全的Bon Liaw進一步說明,「合作是一個國際公司成功的關鍵。 全球化以及本地化一樣重要。在全球資安治理架構之下,用本土方式執行,配合當地區域性的需求另外, 提供一個通透的管道,讓所有的人都能夠順暢的在這個治理架構參與並融入其中,這樣才能取得成功。」
供應鏈安全離不開韌體安全
AMI是一家韌體公司,從產品角度而言,資安威脅的目標在韌體的弱點,AMI有完整的產品弱點生命週期管理。他們也正開發一個流程,整合進入公司全方位防護計畫中,未來希望延伸至其他的資安管理架構。Cure表示,AMI會針對自己產品的弱點進行發布及修補。也正在與第三方研究對於韌體安全方案的可能性。
Cure提及供應鏈風險,而韌體安全正是全球OEM/ODM廠商的重點。AMI正與與政府機構以及稽核標準單位合作,定義跨國共通的韌體安全需求,進一步制定全球性的韌體安全為新稽核及法規標準。
資安長的溝通
台灣目前要求上市櫃業者設置資安長,被問及企業獲利導向跟安全導向有衝突時,資安長要如何溝通?Cure認為有兩個部分要注意,「第一,如果採用正確的安全管理模型,當資安事件發生時,修復的成本,如人力、物力可能更節省。如果安全設計跟公司營運良好的結合,不只執行上更簡單,也更符合經濟效益。第二,有彈性的選擇資安方案,不是所有的方案都很昂貴,有些甚至不用費用。」他強調,採用更多的安全系統方案不代表讓公司更安全,真正的挑戰在於改變流程以及使用者習慣,而這決定了企業的安全強度。
Liaw 認為台灣並不算有很多強制法規推動資訊安全的國家。「所以目前關鍵是如何平衡現況來讓資訊安全計畫有成效。其他國家或區域的企業有許多運行資安治理的架構或樣板可以供台灣企業參考,不需要樣樣重頭來。」
對近三年的AMI資安策略,
Cure強調營運韌性。依照「已被入侵」的假設下, 對自身的安全計畫進行壓力測試,確保計畫足夠為公司營運提供充分的保護。
Liaw指出,安全是個不斷移動的目標,安全策略也不會有固定內容,需依據公司現有資源不斷檢視、更新來確保目標正確,「這不一定是複雜的,但是必要的。」