這一篇在2023年3月15日由Kevin Townsend所寫的"The Rise of the BISO in Contemporary Cybersecurity",讓我們在資安長以外可再思考企業可怎麼設計這個職位,為公司加值。
相關的概念,先前在"B1【調查】檔案室:(1)更多資安長向執行長報告,顯現其影響力上升;(2) 近三分之一的資安領導人考慮過要離開他們的組織;(3)資安長角色的演變與負擔 -2023/11/04"裡也有提到:https://worldofcg2023.blogspot.com/2023/11/b112-3-20231104.html
關於這種功能複合的主管,在永續方面也有探討過,比如"新加坡的財務永續長(CFSO)概念-2023/06/10":https://worldofcg2023.blogspot.com/2023/06/cfso-20230610.html
BISO在過去幾年間,已經越來越受到歡迎。但他們在做些什麼?與資安長之間的關係為何?對於無此職位的組織而言是不太清楚的。
根據Barbee Mooneyhan,BISO與CISO差不多同時出現,甚至可能更早。組織越來越意識到需要保護企業資訊,因此設立了BISO。
此職位是以業務為核心的,在不同部門、業務範圍或地理區域各會設自己的BISO,已協助防禦他們的核心業務。
「網路安全」一詞現在比「資訊安全」更常見,縱使兩個概念密不可分。對有所有業務之網路安全都負有整體責任的長字輩主管,需求是越來越明顯了。
Lares Consulting的營運長Andrew Hay說,「一般來說,BISO的任務是在大組織裡的某一業務單位、集團或團隊進行安全領導。大公司會將BISO的責任區分開來,我們常到BISO會向組織中央的CISO報告。」
Tanium的首席安全顧問Timothy Morris說,「BISO負責在業務範圍內建立、落實安全政策與策略。在BISO職位更普遍之前,在大組織會由其他董事層級的職位來履行類似的功能,比如資訊安全主管。」
每間公司的BISO職責各自不同,端視各公司的需求。Coalfire的策略、保密與風險總經理Kurt Manske說,「在某些公司,BISO會擔任高階職位,直接向資安長、科技長或資訊長報告。在這個層級,BISO會作為業務單位主管與經理人之間的聯繫管道,以推動整個組織更強的資訊安全狀態。」
另外,BISO也可能在組織內的地位不這麼高,專注於支持資安控制。Manske說,「在這個狀況下,BISO或許會與網路安全團隊密切合作,確保安全控制能有效落實。」
在其他的組織,BISO或許會直接向業務單位主管報告,而非網路安全或IT主管。Manske說,「對於那些責任明確連結到網路安全和遵循要求的組織而言,這特別重要,其中BISO在強化這個連結上,可扮演關鍵角色。」
雖然這些都屬實,但BISO一職仍是以business為主。BISO必須瞭解業務需求,同時必須能夠將資安長所定的整體資安政策,轉化為業務面可行的安全。同時,BISO必須能向資安長溝通業務需求。Mooneyhan說,「就是搭起業務和安全之間的橋樑。」
BISO在特定的業務範圍內,應具備經理人能力,並且能縮短資安絕對要求和真實業務需求之間的落差。這個經理人職位需要非常廣泛的技能:IT、資安、軟技能。Manske總結他們需要:經理人素養、技術專長、業務敏銳度、溝通技巧以及協調能力。
資安長典型上是從策略焦點來看企業安全的。Morris說,「通常,資安長(特別是大組織的)會全力管理『外部』,比如長字輩主管、股東、監理機關等,沒有時間關注所需的『內部』職責。」
設有多個BISO,是一個處理責任授權的方法,但這個角色可不只授權:他更像是資安長的分身,將資安長的目標延伸到業務。
Manske說,某些資安長或許不同意設BISO,甚至視其為威脅;但這是短視的作法。「與其視BISO是一個威脅,我相信應該視其為珍貴的資源,可協助架起資安與業務之間的橋樑。藉由與業務主管緊密合作、並確保安全政策與程序都符合組織需求與目標,BISO可協助建立更強大、更有效能的整體安全計畫。」
Mooneyhan也強調,「若資安長視BISO為威脅,那在安全團隊的文化方面,就還有很多工作要做。」
BISO最主要是在大公司裡才會有,但其實所有規模的公司都需要將安全及業務結合起來。就算沒有設BISO的公司,也都有這個需求。
對小公司而言,BISO功能或許會由安全團隊裡某一業務範圍的專家負責,或由業務單位某位安全主管負責,也可能兩者都有。若小公司在業務與地理區域上都開始成長,則讓同一人兼顧業務與安全之需求就會越來越大。
資料來源:https://www.securityweek.com/the-rise-of-the-biso-in-contemporary-cybersecurity/
.jpg)
沒有留言:
張貼留言