巧婦難為無米之炊,許多IT/資安從業人員在談及推動資安的難處時,總是感嘆沒人、沒錢、老闆不重視。不管對何種規模的企業而言,在不景氣下沒人、沒錢是普遍現況,但仍有企業能順利爭取預算,他們是如何做到?
根據2016資誠(PwC)全球資安現況調查報告指出,受訪企業為了解決網路安全挑戰,比起前年更願意在資安方面投資,2015年平均提升資安預算24%。因此,如何讓企業高層主管重視資安並爭取預算,考驗IT/資安主管的溝通能力。以下是業界資深資安主管與本刊讀者分享的實際工作心得,讀者可以參考運用。
將資安工作與老闆關注的重點結合
老闆關注的重點也就是目前企業營運業務方向的重心。CIO必須掌握企業營運方向,並利用IT科技提供企業創新發展策略,而CISO亦然。CISO也必須了解企業發展重心,並規劃相關資安工作與計畫。
舉例來說,全通路時代來臨,數位通路是目前企業營運發展重點,軟體部門正在積極開發App,這時就可同時提出App安全檢測、源碼掃描等資安規劃。當然,這中間的串聯也是需要資安主管具備說故事的能力,例如App安全檢測是對客戶個資的保護、保障商譽…等。
此外,資安工作必須是跟著企業營運方向,提出2至3年的規劃,因此資安主管所說的故事必須具有一致性,切忌讓老闆感覺你想到甚麼做甚麼。
參考業界資安成熟度指標
許多顧問公司會制定資安成熟度指標,從多個面向給予企業評分並繪製雷達圖,使企業了解與同業相比,在哪些面向處於領先或落後。透過客觀的評估,企業高層可以明白自己的資安成熟等級,也會較願意進行投資。
法國管理顧問公司Capgemini就以四大領域「策略與治理」、「組織與人員」、「流程」與「科技」,總計37個子項目作為資安框架,下圖1以某COMPANY公司為例,在策略與治理面向中的治理架構、IT風險管理、稽核等項目都處於顯著落後同業水準,而在「營運持續管理」、「資料隱私」方面優於同業表現。
圖1 資安成熟度評鑑指標
圖片來源:Slideshare
此外,行政院資通安全會報技服中心(現更名為國家資通安全科技中心)長期以來也針對政府機關制定資安治理成熟度評估機制。共分為「政策與符合性」、「規劃、推動與監督」、「作業與技術」與「組織與人員」等四大面向,共計18個流程構面(如下圖2)。據以要求各級機關推動相關資安作業,並掌握機關資安防護能力,其內容與架構也值得讀者參考。
圖2 政府機關資安治理架構圖
圖片來源:資安科技中心
除了透過資安成熟度指標,資安主管也可以善用外部合作夥伴的資源,以了解同業在資安工作上的規劃與應用,藉此企業高層也較能體會資安投資的必要。
綜上所述,對於資安,其實老闆是願意出錢投資的,重點是錢花的對不對,以及溝通方式對不對。過去所採取的恐嚇訴求,或是「別人出過事我們應該補強」的說詞可能無法一再重複運用。與企業營運目標做連結,制定2至3年的資安計畫,並善用外部資源,客觀呈現企業資安成熟度等級,相信較能順利爭取預算。