觀點

要說服別人前,先擦亮自己

2009 / 03 / 06
編輯部
要說服別人前,先擦亮自己
CISO作為營運領袖還不夠,更必須具備風險管理技能。

就從我結交過許多CISO的朋友開始說起吧!加上與CISO們許多重要的生意往來、必須向CISO報告,加上本身曾任CISO的經驗。
過去5年,我看到的趨勢讓我相信,CISO這個角色必須有所調整和改變,才能符合現今環境的需求,假使他們無法體認到這點,不久將來,可能會開始為這個職責的方向感到困惑。
大多數我遇過的CISO都會嘗試與實務操作的員工,共同建立與維護他們的企業王國,諸如防火牆管理員、入侵防禦專家、鑑識分析師等。然而,在大多數的IT組織中,他們的營運團隊通常都早已到位,肩負網路基礎架構、伺服器與電腦管理、 應用發展、維護及其它範疇等。當安全已有了雛型—從
適當的教育訓練,至每個IT 專家都必須對重要事件有所意識;對營運團隊中與安全相關的部分,採取戰略方法,移入相關職務,顯得更加合理。但對於企圖贏得這場人頭戰的安全經理人來說,這將是一場失敗的搏鬥。
即使是在有較多安全人員的大型組織中,許多CISO僅擁有一點點政策上的權力。研究指出,原因乃出自於對資訊安全管理任務的定義不清。去年,Gartner發表的研究報告—有關CISO最棘手的5項議題;首要問題即是,CISO究竟該向誰報告?又是輪到誰該向CISO報告?大部分的組織會把CISO一職歸於IT體系中,這樣一來必然導致CISO變成另一個操作員;跟爭取預算的戰略一樣,要從營運管理部門中,爭取到更多的員工數及注意力,也需要戰略。
漸漸地,資安運作將移至IT的其他領域。網路入侵防禦和防火牆管理將歸納至網路運作,主機強化和檔案完整性監控將移至系統管理下,而應用安全則
將成為開發團隊的職責。如此一來,CISO和其他安全經理人將被安置於何方?CISO要如何成為真正的謀略者,又不淪為只是IT營運中的一個安全領航員?
過去幾年來,我們已聽到CISO需要改善他們的營運技能。但現今許多安全經理人還有另一個更迫切的養成需求—風險管理。當法規遵從的提倡,在企業文化中愈來愈根深蒂固,安全在大多數的IT紀律中就愈不可或缺;企業內部需要「可信賴的提議者」,能將
IT要做的事情、細部的差異,翻成「白話文」進入真正的風險評估;例如,「購買安全控制這件事已經成為理所當然的基本消費」,或「它只是基於科技使用的觀點或興趣而已」。安全管理在設計(design)和履行
(implementation)時,需要更多可實行的理由,也需要 一個更堅固的基礎架構,來影響營運的決策方向,並解釋安全何以在營運戰略中是不可或缺的。
我一位友人,同時本身也是CISO,他把這種情形解釋的很好。他認為CISO其實應該被稱為CRO—Chief Risk Officer;或者應該向某職位報告,而此職位的主要職責必須是政策管理—建立指導方針與政策,適切衡量組織的風險承受能力;然後對營運管理部門產生作用,以確保政策是被支持的。現今,資安業者談了很多與政策相關的議題,但我們傾向於忽略掉那些危急且複雜的風險分析因素。除非,今天CISO已通曉這項重要技能的養成,而且善於向更高管理層級溝通,否則CISO這個我們熟悉的角色,也許將成為歷史人物。