CISO生存守則

安全主管如何求生存?
現在的法規要求，稽核師的監察以及安全威脅等，讓資訊安全主管就像個壓力鍋一般。安全主管要如何在企業中生存，並邁向成功呢？

這個問題的解答或許就是CISO的箴言：光是有技術還不夠，安全專案還需要了解商務運作。成功的人會了解商務的運作方式，使用CXO主管能懂的語言進行溝通。

「我們是要幫助商務運行，而非妨礙它，若要這麼做，你必須跳離出0與1的世界，並且與那些不懂0與1的人聰明地對話，」加拿大Independent Electricity System Operator的資深資安主管，Dave Lewis說。

一些安全專家過於注意阻擋攻擊，卻忽略了這些威脅會如何影響到他們的商務營運，他說：「你必須了解公司在做什麼，以及商務的風險有哪些。」

將安全威脅轉換為商務風險的能力，將決定你是否能成為高層主管，防護承包商Northrop Grumman的副總兼CISO，Tim McKnight說。Burton Group首席顧問及Raymond James Financial的前CSO，Gene Fredriksen建議，當你有機會與CXO或董事會見面時，請妥善地利用你的時間。

「你不會想使用FUD的（利用懼怕、困惑、疑慮的一種行銷手法）…。這些人的每次會面時間永遠不會超過幾分鐘，」他說。

不要談論病毒的數字統計，可以談談安全能夠如何降低成本、降少風險、改善合法性，或是加速上市時間等。例如，如果你的組織是透過M&A（併購與合併）來成長的話，那就談談安全系統能有何幫助吧，Fredriksen說。

要使用商務的語言，安全主管還必須要有強有力的領導能力與溝通技巧，並專注於員工技能的開發上，McKnight說。

「如果你沒有最佳的技能，你便不可能成功，」他說。

事實上，除了技術才能外，未來的CISO更需要「人」的技術，Forrester Research資深分析師，Khalid Kark說。這是因為高層必須負責buy-in，而且還得教育使用者安全威脅以及安全實務。

「CISO不需要是技術專家，他們若要成功，更需要倚靠的是對人的專業，」Kark說。

Priority Health健康保險公司的資訊安全經理兼資訊服務安全長Tim Maletic則認為言之過早。他同意人的技巧是很重要的－安全專家必須是面面俱到，且能夠與組織的各個團隊共事－但他認為技術能力也是個關鍵。

「你不能不去管最新技術的發展，這樣你會失去新計畫的機會，也無法得知這些技術與貴組織的風險有何關聯，」他說。

Maletic說他發現自己在拉近商務與技術兩個世界的距離；建立強有力的團隊也很有幫助，因為他可借助工程師對於最新科技的專業能力。

他與其他安全主管也發現了應付稽核師壓力的妙招。對人的技巧在這裡早晚會派上用場。

「你要和稽核師做朋友。你必須與他們互相合作，」Maletic說。「我的內部稽核師與我合作地非常好。我們會分享資訊，視彼此為一體。」

IESO的Lewis認為不應將稽核師視為是敵人，這是一些IT人常有的誤解：「稽核師是要幫助你改善企業，而非對你煎熬。」

然而，外部稽核師會提出不同的挑戰，Maletic補充。在這些案例中，合作的成份不像定義企業需求那麼多。

「要確定在測試的每個目標或控制中，你都能與稽核師對結果達成一定的協議，而不是對稽核師的想法照單全收，」他說。

根據Forrester的調查，法規遵循對於CISO來說令人氣餒又浪費時間，但像ISO 27001之類的架構，便能同時解決多項規定，而不須一一擊破。

Forrester的副總Michael Rasmussen說，法規的要求越來越多，若安全主管有法律常識的話，會有很大的幫助。他們不必再倚靠公司的法律顧問，便可應付各種法規所帶來的IT衝擊。

「在過去的二十年中，法規遵循已成為安全的第一要務，因此今日的CISO一定得需要法律技能，」他說。

Burton的Fredriksen說產業組織如BITS（一個由金融服務的CXO所組成的協會）等，可幫助安全專家應付新興的法律與規定等議題。主動積極的安全主管會參與法規的制訂過程，並在第一時間提供組織對於新問題的有效建議，他補充。

其他人也同意安全主管不只在組織內部需要主動，在組織外部也是一樣：「無論你是否能影響那些會衝擊到貴公司的法規，或是只是在學術界對資訊安全發聲也一樣，」Northrop Grumman的McKnight說。

維持友好的業界關係也有助於CISO的成功，他說。例如，他可以打電話問其他公司的同業，看他們如何解決特定的問題。

有越來越多的CISO已經從專注於安全的角色，轉換至全面風險管理的角色，McKnight說。「這有所權衡，你會想處理特定層級的風險，」他說。「為企業與老闆找出風險是非常重要的。」

Forrester的Kark預期未來CISO的工作會是在資訊確保(information assurance)，而非資訊保護。


道德騙局
每一個主要的安全認證組織—ISACA、GIAC、（ISC）2及ASIS—都有若干的道德需求，初看之下不管對安全社群還是整個世界都是件好事。畢竟，像醫生和律師等職業都有道德需求。而沙賓法案也要求公司的每位員工每年都得簽署有效的道德聲明。然而，這些安全組織似乎是想藉由道德需求來當作保護認證的藉口，而沒什麼興趣對其會員或顧客提倡道德行為。

這些團體會說他們只對知識做認證，而非雇員的素質。然而，除了ASIS的Professional Certified Investigator（PCI）需要以調查來確認潛在的道德衝突外，其他的傳統資安認證（CISSP、GIAC或CISM）都僅將道德列入課程中。顯然地，他們不將道德視為是日常知識或是工作中的必要技能。

安全認證組織也可能會說安全人員的職務必須受信任，因此應該像律師或醫師一般進行認證。然而美國許多州的醫師及律師都需定期接受道德課程，但卻沒有一個安全組織要求將道德放在認證更新的持續教育計畫裡頭。他們甚至連是否每年有重簽道德條款這麼簡單的問題都懶得問。

如果這還不構成問題，我們還可以點出這些組織的道德政策還缺乏一致性。道德政策（就像所有的安全政策一樣）應該言簡意賅，且必須視為是高層次的指導文件。ASIS與ISACA在網站上都有很好的道德條款。（ISC）2 的則是文字冗長且順序混亂。GIAC的政策正突顯了我認為道德只是用來保護認證的考量，而非同時獲得「認證的尊敬」以及老闆與自身的敬重。

最後，在處理道德透明度上也很缺乏。雖然這四個組織都公佈了申告程序，但只有ASIS完整地解釋了整個過程，包括上訴。我告訴GIAC至少要把道德團隊與授與認證的團隊分開來，但這並未被公開書面化。同樣的，這些組織的網站都沒有揭露有多少會員被懲戒，或是有多少比例的申告已進入懲處動作。（GIAC以「因犯錯或其他道德違規而終止／退出的學生數目」來做為暗示，但這與取得認證的成員有何關聯就不得而知了。）另外，這些網站也無法分辨個人的認證是失檢還是被撤銷。

因此這些組織都希望獲得專業尊敬，也都有道德政策，但卻未真的鼓勵道德行為。身為專業人士的我們在面對道德問題時有兩個選擇：要不就是適當的自我訓練，要不則是停止自欺欺人。



面對壓力
我最近覺得壓力十分的大。我對公司的安全策略有個雄心勃勃的計畫，但我的團隊同時卻被稽核師指揮到分崩離析。如果我對所有稽核師的要求都照單全收的話，就沒有資源可以執行我的安全策略了。內部與外部稽核師，以及沙賓計畫管理、法規遵循、企業永續以及風險管理等辦公室的人員，都跑來要我的團隊去支援他們那方面的工作。存取控制常常就是大宗，我的安全人員常被叫去做這些控制的設計、分析、變更，以及報表。但是我必須讓我的人員不致四分五裂。他們會被拆開來，但我必須讓他們保持成一體。同時間，我還得幫助我那些負責其他控制機能的同事。稽核師的用意是良善的。基本上他們的目標跟我一樣：一個良善控制的資訊系統。問題是出在時間區間。我不希望一次同時做所有的事；我必須分出優先順序。如果我沒有自信讓我的人員了解威脅與風險，那麼我寧原辭職讓其他人來重排我們的優先順序。然而，我有自信，因此我腳步站的很穩。

一開始，這些控制相關的活動並不多，還可以管理，只有內部稽核師、外部稽核師、GLBA、州市場檢核，以及證券交易委員會38a-1投資事業報表等。接著有一次，我們有人發現我們要回答的問題突然變得太多了。幾乎同時間，沙賓法案的幽靈開始騷擾我們了。有一陣子，我還認為沙賓法案是個好東西，可以讓我們的安全議題更向前邁進；它可保障財務的完整性，並且與我們的任務相切合。但我後來發現沙賓法案的人不照我的步調來做事，但我們卻必須配合他們的步調，而他們的時間區隔又與我們的不一樣。事實上，我所有的人力都被抓去做某人的控制相關工作，但安全議題卻被拋到後頭了。我馬上拚命地設法找出各種控制工作間是否有重覆之處。如果我們可以避免重覆做相同的事，我們便可以省時又省工。除了找出重覆的控制工作外，我們還評估了相關的風險，並利用風險等級來將工作做優先排序。由於我們不能一次全部解決，因此我希望先從最大的風險開始下手，其他的以後再解決。我們的計畫是要盡可能幫助同事處理控制相關的計畫，而不要完全犧牲掉我們自己的議程，並放棄致力於我們的安全策略。只要處理掉較大的問題，便能減少足夠的風險，讓大家都好過一些。更重要的是，我們必須統合各個領域對於控制相關的工作。我們必須對其進行組織與優先排序，然後在合理的時間內完成它。我們不能再允許所有的控制工作無限制地消耗掉我們的安全目標。



資安推手的成功秘訣
從事資安工作就是不斷地溝通，要讓高層主管重視並支持資安，就是要知道老闆最在意的是什麼。將資安工作與公司營運目標結合，並且依照業務特性，跟高層講一樣的語言，這樣的溝通方式最有效，高層主管們聽起來也最有感覺。例如，今年公司的營運目標是提升客戶滿意度。因此我們在推行MSN管制時，先整理出MSN所耗用公司網路頻寬的數據報告來說明，這些頻寬若用在對外連線上，可以提升客戶連上我們企業網站的連線服務品質；此外，依照業務特性用相同的語言來溝通，以投資部門來說，他們最不希望投資標的訊息外洩給其他人知道，用這樣的角度來談管制MSN，他們就更容易接受了。但是，若說到對使用者的溝通，我通常會把資安工作的目的與同仁個人利益做連結，讓他們知道訂定這樣的管理規則目的是要保護他的工作，再舉一些實務案例，例如同業有員工因職務外洩資料而受到懲處等，這都是能提高同仁對資安認知的方法。

從事資安工作，除了專業技能、溝通技巧之外，態度行為特質是否符合專業需要，我認為也是相當重要的。這份工作需要經常處理衝突，對於資安規範，資安人員本身要能深信且立場堅定，才有辦法推動，因此性格上傾向與人為善、取悅別人的，會比較不適合。

我認為，資安工作的推動不是一蹴可幾，有時需要重複與高層溝通觀念，同時也可以與其他部門相互配合、一起推動，例如金控子公司都在談想提升BCP（企業持續營運規劃）的層級，要提升層級雖沒有足夠的資源來進行，但還是可以用其他的方式來做。所以我們決定要先做資產的風險評鑑，這樣往後要提升BCP就會有所依據；另方面稽核部門也很支持，因為做了評鑑後，他們就可以根據資產風險高低來決定稽核順序的先後。所以雖然我們還沒有正式要推導ISO 27001，但大家已經開始動起來了。



Power是爭取來的，平常就要不斷對長官重複提醒
其實爭取高層支持資安，不是只在預算編列時才需跟上層首長們談，而是平常一有機會就要重複提醒資安工作的重要性。對北縣府來說，因為對轄區相關地方單位、學校採取IT集中管理的政策，因此過去也已爭取到比較多資源來做事。現在為了達到一樣的資安防護等級，對於既有的資安設備、服務都會繼續投資，至於若要規劃新的專案，包括現在有考慮規劃NAC或精簡型電腦等計畫，其實各地方政府之間多少有相互對照、良性競爭的壓力，因此上級長官也多半會支持。

以我們來說，因為要統籌管理500個機關共2萬多台PC，在資訊中心僅十幾名的有限人力下，我們的重點在於如何利用自動化IT設備，來確保為數眾多的用戶端PC不致發生不安全的行為，並且適當地將IT委外管理。我認為現在各政府單位都已知道資安的重要性，但在面臨各種資訊安全解決方案時，應該要謹慎考慮本身IT現況、範圍，評估ROI之後再決定是否導入。例如資產管理系統，不見得所有機構都需要導入才能做好用戶端電腦管理，有些只有幾十台PC的單位，用人力做稽核、管理就很足夠，善加評估成本效益才能把錢花在刀口上。

另外政府機構多半IT人力比較不足，較常採取IT委外政策，但必須注意的是對廠商派來駐點人員的管理。通常廠商的駐點人員雖然是由廠商支薪，但我們要握有人事任免權，同時也對駐點人員打考績，若表現好則發績效獎金，這樣駐點人員才會變成我們自己人，用心工作。另外由於資安工作有時會接觸機密資料，我們在任用時會另外考慮其前科紀錄與國籍問題等。



設身處地、換個角度溝通，推動資安更容易
對像我們這樣約有10%的經費需要自籌的研究機構來說，通常我們對上在提報這樣的專案時，一定會先將過去的績效呈現出來，例如因為通過ISO 27001之後，我們在對外接計畫、以及為學研界提供資訊服務時，都更容易得到信賴。因此我認為對上溝通要將專案需求與主體業務作連結，這樣的溝通方式比較有效。

至於談到如何對其他部門推動資安制度，我認為一定要站在對方的角度來溝通，才能化解使用者對於制度規範的反彈。就像我們資訊技術組一開始推ISMS時，中心內其他單位雖不在導入範圍內，但使用者若需要我們資訊技術組提供服務，也要配合填服務申請單。新規定難免會讓使用者感到不便，認為你們這個單位規定很多很麻煩，如果IT人員又一味以「請按規定辦理」來回應使用者，一定會造成對方不悅。其實換個角度溝通，請使用者填單，對他們來說是一種保障，因為在表單上押註日期，也會讓我們提供資訊技術服務者不敢怠慢。只要換個角度談，溝通就有效多了。


建立正面的心態，歡迎外部稽核來找碴
對我們來說，只要跟總經理做專題報告說明資安計畫的目的、效益，具體說明是要解決哪些問題，公司高層大都會支持。畢竟對半導體產業來說，不管是與國外技術合作的原廠或客戶，都十分重視往來訊息的安全，只要發生資料外洩或系統停擺的資安事件，可能面對的都是成千上百萬元的損失或求償，因此高層本身十分重視。

如何對三、四千人跨部門順利推動資安計畫才是挑戰，有時訂定的資安規範難免會遇到使用者反彈，這當然需要做溝通，但我們也會在每月固定召開的資安月會上公開討論。面對與會者所提出的質疑或反對意見，其實有時其他部門會有支持的聲音，因此資安部門不會孤立無援。另外如果真的遇上業務需求與資安規範兩難的情形時，則由資安委員會的陳副總做出裁決。

談到稽核問題，其實建立正面的心態很重要。一方面因為我們所有的資料都已透過系統來建立，因此進行稽核時，直接透過電腦、連上網路就可開始稽核，不需要另外為稽核工作做準備，這樣就不會增加人員的負擔；另方面，我們也認為外部稽核是來幫我們找出缺失的，就算找到缺失只要改善就好，不會影響考績，也就沒有對立的問題。

雖然我們臺灣企業還不需面臨太多政府制定的法規需求，但由於有與國外進行業務往來，算來稽核工作也不少。以我們來說除了證交所會依據九大循環，對上市公司進行資訊系統方面的查核之外，就是我們在美國的分公司要因應美方的法規，包括郵件、系統日誌要做備份以符合沙賓法案，另外最近則是要配合美國海關相關人員來進行IT查核。面對頻繁的稽核，我們是資安部門同仁與各部門的資安幹事一起分工進行會比較有效率。



建立互信，才能整合各所分散的資源做有效利用
對中研院來說，推動資訊安全的難處不在對上尋求支持，而是平行溝通。全院30個研究單位，各研究所都有各自的資訊人員。中研院的決策流程很精簡，以IT來說，只要計算中心廖主任同意後，資安計畫就能安排執行。但像這次為了要進行全院的資安檢測，資安小組首要面對的是各所資訊人員的質疑：「我過去都做的好好的、又沒有出錯，為什麼要來檢查？」所以在對平行單位的溝通時，一定要先跟各所好好談，站在互相幫忙的角度，是協助發現問題並且做交流，而不是去檢查錯誤。

過去由於各所IT系統各自維運，且系統都建在各自的Intranet裡，資訊人員彼此之間不了解別人的管理方式。藉由全院檢測，才能分享出那些資安做很好的單位的經驗與資源。例如資訊所自己用Free BSD開發了一個防火牆系統，我們就商請資訊所將這個系統分享出來，複製到其他單位，統一由資安小組接手維運。其實對研究機構來說，善用自己的資源並且互通有無，就能將彼此的資安等級提升到一定水準，建立可以被信任的IT環境。