歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
法蘭克福新時代傳媒有限公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
2008資安標竿:政府-策略性思考為成功上策
2009 / 07 / 08
MARK WEATHERFORD 譯 ■ 左恩燦
政府單位若無視策略計畫,風險自負。
當人們談到發展安全計劃時,總是眼珠子轉啊轉,散發出一種無可奈何的氣息。經過幾年一些有趣的討論,我有了一些心得和結論,那就是對我們在策略思考上所做的努力,而所擬定產生的策略計畫數目,沒有比每年定期舉辦的腦力激盪訓練次數多出多少。基本上,對我們的安全組織而言,成果比較像是一個戰術計畫,而不是更甚於是一個真正的戰略眼光。
決策可能會使資安長丟飯碗,所以當談到未來戰略與當下戰術間的資源分配,或許那只是純粹個人決策,以確保自己有個安身立命的所在。Maslow已先提出這樣的觀點!你想到這有何聯繫了嗎?
當大野狼每天都來敲門時,我們要從策略性角度去考量,可能會發生在3年或5年後的風險,以及對該風險該有的應對措施時,是很困難的。然而,那無法向資安長安排的策略性安全教育訓練說不。
因此,我們的團隊每年一次在公司外部召開會議,制定「策略計畫」,結束時產生的結果通常都是戰術多於戰略。會後結果沒有產生真正的策略,因為我們沒有專心在必要的深度思考,提出一個稱得上「策略計畫」的見解。老實說,我已經做了很多年的策略計畫,而那是超過我的意願的,因為要制定一個策略計畫,必須花費相當多的時間與努力,而當你發現自己比較像是個救火員,更甚於是一位資安長的時候,你很難將一切合理化。
如果以前我們在這個產業的策略計畫與思考有作得更好的話,或許現在也不會到處都是蹩腳的應用程式,引來駭客注意。回想以前,我的策略性思考應該更專注在這些與營運相關的大問題上,因為如同我們大家都知道的,當企業遭逢安全事件時就已是身受其害。我知道舊應用系統對於現今我們所看到的指令執行,以及用戶端的攻擊是有弱點的,也許你也知道。我們長久以來是否都過於專注在星期二的弱點修補更新,或是最新的弱點評估結果如何?什麼時候開始,應用安全成為你的工作清單中最擔心的5大問題之一?5年前,我們甚至不曾聽過殭屍網路(botnets),但是那就是弱點所在。很多年前我們就知道保護個人身分識別資料的問題,但曾幾何時它也成了你的背上刺棘心頭針。
對多數的營運週期商業循環來說,時代都正在改變,希望到最後安全能被視為營運上的關鍵事項。也許不盡如人意,但至少能被認定如此;因為智慧財產保防護的管理環境正在發展,要求也日益增加;而在政府部門,同樣有保護市民個人資訊安全的需求。因此,高瞻遠矚需要有某個程度的魄力,我認為資安長們是因為疏忽了真正的策略計畫而招致風險,因為沒有策略計畫來領航,是不可能有真正的成功。
政府
決策
殭屍網路
最新活動
2021.03.09
第20屆 亞太資訊安全論壇暨展會
2021.03.11
Fortinet ACCELERATE 2021-線上網路大會
2021.03.18
後疫情時代|資安策略的轉變與資安治理的價值
2021.04.21
物聯網資安跨界聯防應用專區@Secutech 2021
看更多活動
大家都在看
最新 Sunburst 目標式攻擊分析
紅帽: 2021數位轉型策略需思考五大關鍵趨勢,資安是要素之一
美國聯邦密碼模組安全標準FIPS 140-3,防止機敏資料外洩
雲端為王:2021年需關注的9種軟體安全趨勢
[專訪] 資訊安全治理(Governance) vs 資訊安全管理(Management): 為什麼需要ISO 27014?
資安人科技網
文章推薦
Sophos 發現攻擊程式碼隱藏在記憶體中的行為並提供對應保護
美國CISA針對微軟 Exchange 嚴重漏洞發布緊急修補命令
全景軟體ID Expert身份認證系統強化數位金融的資安防護