歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
要說服別人前,先擦亮自己
2009 / 03 / 06
編輯部
CISO作為營運領袖還不夠,更必須具備風險管理技能。
就從我結交過許多CISO的朋友開始說起吧!加上與CISO們許多重要的生意往來、必須向CISO報告,加上本身曾任CISO的經驗。
過去5年,我看到的趨勢讓我相信,CISO這個角色必須有所調整和改變,才能符合現今環境的需求,假使他們無法體認到這點,不久將來,可能會開始為這個職責的方向感到困惑。
大多數我遇過的CISO都會嘗試與實務操作的員工,共同建立與維護他們的企業王國,諸如防火牆管理員、入侵防禦專家、鑑識分析師等。然而,在大多數的IT組織中,他們的營運團隊通常都早已到位,肩負網路基礎架構、伺服器與電腦管理、 應用發展、維護及其它範疇等。當安全已有了雛型—從
適當的教育訓練,至每個IT 專家都必須對重要事件有所意識;對營運團隊中與安全相關的部分,採取戰略方法,移入相關職務,顯得更加合理。但對於企圖贏得這場人頭戰的安全經理人來說,這將是一場失敗的搏鬥。
即使是在有較多安全人員的大型組織中,許多CISO僅擁有一點點政策上的權力。研究指出,原因乃出自於對資訊安全管理任務的定義不清。去年,Gartner發表的研究報告—有關CISO最棘手的5項議題;首要問題即是,CISO究竟該向誰報告?又是輪到誰該向CISO報告?大部分的組織會把CISO一職歸於IT體系中,這樣一來必然導致CISO變成另一個操作員;跟爭取預算的戰略一樣,要從營運管理部門中,爭取到更多的員工數及注意力,也需要戰略。
漸漸地,資安運作將移至IT的其他領域。網路入侵防禦和防火牆管理將歸納至網路運作,主機強化和檔案完整性監控將移至系統管理下,而應用安全則
將成為開發團隊的職責。如此一來,CISO和其他安全經理人將被安置於何方?CISO要如何成為真正的謀略者,又不淪為只是IT營運中的一個安全領航員?
過去幾年來,我們已聽到CISO需要改善他們的營運技能。但現今許多安全經理人還有另一個更迫切的養成需求—風險管理。當法規遵從的提倡,在企業文化中愈來愈根深蒂固,安全在大多數的IT紀律中就愈不可或缺;企業內部需要「可信賴的提議者」,能將
IT要做的事情、細部的差異,翻成「白話文」進入真正的風險評估;例如,「購買安全控制這件事已經成為理所當然的基本消費」,或「它只是基於科技使用的觀點或興趣而已」。安全管理在設計(design)和履行
(implementation)時,需要更多可實行的理由,也需要 一個更堅固的基礎架構,來影響營運的決策方向,並解釋安全何以在營運戰略中是不可或缺的。
我一位友人,同時本身也是CISO,他把這種情形解釋的很好。他認為CISO其實應該被稱為CRO—Chief Risk Officer;或者應該向某職位報告,而此職位的主要職責必須是政策管理—建立指導方針與政策,適切衡量組織的風險承受能力;然後對營運管理部門產生作用,以確保政策是被支持的。現今,資安業者談了很多與政策相關的議題,但我們傾向於忽略掉那些危急且複雜的風險分析因素。除非,今天CISO已通曉這項重要技能的養成,而且善於向更高管理層級溝通,否則CISO這個我們熟悉的角色,也許將成為歷史人物。
IT治理
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.09
AI應用下的資安風險
2025.07.10
防毒、EDR、MDR 到底差在哪?從真實攻擊情境看懂端點防護的導入路線圖
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
中國駭客組織「銀狐」假冒DeepSeek安裝程式 鎖定台灣進行網路間諜攻擊
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
超過 200 個針對遊戲玩家和開發者的惡意 GitHub 程式庫攻擊活動曝光
勒索軟體攻擊手法升級:Python腳本結合Microsoft Teams釣魚成新威脅
資安人科技網
文章推薦
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
報告:不到三成企業具備了解API中敏感資料暴露情況的能力