歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
要說服別人前,先擦亮自己
2009 / 03 / 06
編輯部
CISO作為營運領袖還不夠,更必須具備風險管理技能。
就從我結交過許多CISO的朋友開始說起吧!加上與CISO們許多重要的生意往來、必須向CISO報告,加上本身曾任CISO的經驗。
過去5年,我看到的趨勢讓我相信,CISO這個角色必須有所調整和改變,才能符合現今環境的需求,假使他們無法體認到這點,不久將來,可能會開始為這個職責的方向感到困惑。
大多數我遇過的CISO都會嘗試與實務操作的員工,共同建立與維護他們的企業王國,諸如防火牆管理員、入侵防禦專家、鑑識分析師等。然而,在大多數的IT組織中,他們的營運團隊通常都早已到位,肩負網路基礎架構、伺服器與電腦管理、 應用發展、維護及其它範疇等。當安全已有了雛型—從
適當的教育訓練,至每個IT 專家都必須對重要事件有所意識;對營運團隊中與安全相關的部分,採取戰略方法,移入相關職務,顯得更加合理。但對於企圖贏得這場人頭戰的安全經理人來說,這將是一場失敗的搏鬥。
即使是在有較多安全人員的大型組織中,許多CISO僅擁有一點點政策上的權力。研究指出,原因乃出自於對資訊安全管理任務的定義不清。去年,Gartner發表的研究報告—有關CISO最棘手的5項議題;首要問題即是,CISO究竟該向誰報告?又是輪到誰該向CISO報告?大部分的組織會把CISO一職歸於IT體系中,這樣一來必然導致CISO變成另一個操作員;跟爭取預算的戰略一樣,要從營運管理部門中,爭取到更多的員工數及注意力,也需要戰略。
漸漸地,資安運作將移至IT的其他領域。網路入侵防禦和防火牆管理將歸納至網路運作,主機強化和檔案完整性監控將移至系統管理下,而應用安全則
將成為開發團隊的職責。如此一來,CISO和其他安全經理人將被安置於何方?CISO要如何成為真正的謀略者,又不淪為只是IT營運中的一個安全領航員?
過去幾年來,我們已聽到CISO需要改善他們的營運技能。但現今許多安全經理人還有另一個更迫切的養成需求—風險管理。當法規遵從的提倡,在企業文化中愈來愈根深蒂固,安全在大多數的IT紀律中就愈不可或缺;企業內部需要「可信賴的提議者」,能將
IT要做的事情、細部的差異,翻成「白話文」進入真正的風險評估;例如,「購買安全控制這件事已經成為理所當然的基本消費」,或「它只是基於科技使用的觀點或興趣而已」。安全管理在設計(design)和履行
(implementation)時,需要更多可實行的理由,也需要 一個更堅固的基礎架構,來影響營運的決策方向,並解釋安全何以在營運戰略中是不可或缺的。
我一位友人,同時本身也是CISO,他把這種情形解釋的很好。他認為CISO其實應該被稱為CRO—Chief Risk Officer;或者應該向某職位報告,而此職位的主要職責必須是政策管理—建立指導方針與政策,適切衡量組織的風險承受能力;然後對營運管理部門產生作用,以確保政策是被支持的。現今,資安業者談了很多與政策相關的議題,但我們傾向於忽略掉那些危急且複雜的風險分析因素。除非,今天CISO已通曉這項重要技能的養成,而且善於向更高管理層級溝通,否則CISO這個我們熟悉的角色,也許將成為歷史人物。
IT治理
最新活動
2024.04.10
【資安學院】4/10 身分識別與存取控制防護實務
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
提高TLS安全! 微軟將淘汰Windows系統1024位元RSA金鑰
趨勢科技示警LINE輔助認證詐騙手法並建議5大社群隱私防範守則
趨勢科技:台灣需留意Earth Estries駭客組織,鎖定政府機關與科技業
思科完成收購Splunk
Google推出實時網址檢查 升級安全網頁瀏覽功能防範更多釣魚網站
資安人科技網
文章推薦
報告:零日漏洞利用率激增,商業間諜軟體是主要利用者
TheMoon惡意軟體變種肆虐! 超過 6千台ASUS 路由器已被感染
中國國家級駭客組織UNC5174利用ScreenConnect、F5 BIG-IP漏洞鎖定國防及政府單位