【資安長觀察】(1)隨資安長與長字輩主管搏鬥，工作滿意度有所下降；(2)資安長必須從戰術防禦轉型到戰略領導；(3)大多數資安長感覺沒準備好新的遵循規定-2024/08/31

(1)隨資安長與長字輩主管搏鬥，工作滿意度有所下降

Cybersecurity Dive 在2024年 7月 9日報導，網路安全工作的薪水很不錯，特別是當專家升為管理階層時。資安長薪水一年大約在40萬至100萬美元之間。不過俗話說，錢買不了幸福—或工作滿意度。IANS與Artico Search的研究發現，有四分之三的資安長在2023年考慮換工作。

資安長是有被賦予長字輩主管頭銜，但不一定是組織的領導層。安全主管在發生網路事件和違反遵循時，會被當成代罪羔羊，而這就造成了工作滿意度不足。

報告發現，「監理機關與檢察官現在會要資安長代表組織為透明度負責，甚至還有舞弊。」

Pathlock的執行長Piyush Pandey在電郵中說，資安長必須面對個人法律責任及名譽的不利影響，還要面對未能掌握網路安全風險重要性的領導團隊。

Pandey說，「在日常安全營運的壓力中加上這些問題，又沒有相應地加薪，真的令人十分挫折。」

資安長工作滿意度下降的影響

隨著在資料保護和保密監理要求之增加，以及資訊科技整體控制事項的成長，壓在資安長肩頭的重擔造成他們精疲力盡。Critical Start 的資安長George Jones直接見證了這個問題。

Jones說，「我看到同儕難以平衡工作-生活以及職涯發展。」

Jones還說，資安長滿意度不足，對公司安全造成的巨大影響包括有：

*降低效能：一個不滿的資安長或許比較沒有動機投入管理和減緩網路安全風險

*留任的挑戰—高度不滿的資安長會早早辭任，造成更高流動率及組織的不穩定。這也造成領導力及流程上的潛在落差。

*文化影響—資安長在形塑組織安全文化上扮演關鍵角色，並且能推動員工的意識。不滿會影響他們培養組織有強大安全文化的能力。

*漏洞增多—滿意度不足也會造成配置給網路安全措施的資源不足，使得組織更容易暴露於網路威脅與資料外洩。

打破資安長和領導層之間的阻礙

資安長缺乏明確的領導層職位，正壓抑著工作滿意度。更能接觸董事會的資安長表示，對工作及處理安全要求之滿意度較高。

IANS與Artico Search報告發現，「接觸不到董事會的資安長，滿意度僅28％，而不常或臨時會接觸董事會的資安長，滿意度是57％。」

若領導人會議上忽視資安長與網路安全，則組織將會難以採行網路安全最佳實務，並有意義地在其公司文化內整合網路安全。

企業的優先事項必須要包括：打破安全和企業領導人之間的阻礙。

這要從讓資安長參加所有董事會會議開始，即網路安全措施應該積極、定期地討論。組織也必須要接受這個事實—積極的網路安全最佳實務，以及充足地提供資源給網路安全團隊和計畫，並不廉價。絕對不會如此。

Pandey說，「當董事會層級的決策者更快瞭解到—預先投資的成本效益會比資料外洩發生後被動支出還高，則在適當的網路安全投資及融資上，將會有顯著的進步。」

資安長的前景可能仰賴於幾個因素，比如不斷演變中的網路安全威脅、組織優先重視度、監理改變，以及用來處理工作挑戰之措施的有效性。

Jones說，「這讓前景預測變得困難，但工作量與壓力不太可能會減少，也就是說壓力程度也是如此。」

資料來源：https://www.cybersecuritydive.com/news/ciso-security-burnout/720857/ 

(2)資安長必須從戰術防禦轉型到戰略領導

2024年7月19日Help Net Security報導了Ivanti的研究：雖然網路安全預算有所成長(71％受訪者說2024年有增加)，但安全策略及投資沒有跟上越來越嚴重及普遍的威脅。

有95％的IT及安全專家相信，安全威脅會因為AI而更為危險—但是，儘管風險有升高，但是將近三分之一的安全與IT專家卻沒有明文的策略，以處理生成式AI的風險。在今日的環境裡，資安長在組織上扮演更關鍵的角色，因為他們所做的許多決定，會影響到整個企業。

雖然有60％的非IT主管說，對於組織在未來12個月預防或阻止損害性安全事故之能力，「非常」或「極度」有信心，有同樣信心的IT專家卻只有46％。這個落差顯示了，非IT的主管或許不是真正瞭解巨大、越來越有侵略性網路之安全威脅所帶來的風險。

55％的IT及安全專家說，非IT主管並不完全瞭解漏洞管理，而且非IT主管很大程度也同意—47％說他們不是非常瞭解漏洞管理。當這些主管不瞭解時，他們或許就不知道—領導優先事項之改變，如何影響到組織的安全。事實上，超過四分之一的IT專家說，領導優先事項的改變會破壞補強式的管理。

非IT出身的高階經理人，比起IT的安全高階經理人，會更關重財務、法務及聲譽方面的影響。比如，有24％高階主管會稱網路風險對聲譽之影響「頗高」，而資安長只有15％會如此表示。

研究顯示，網路安全已成為董事會層級的主題。86％說會在董事會上討論網路風險管理，84％說資安長會被邀請到高階策略會議，探討經營決定、組織計畫等。

Ivanti的現場資安長Mike Riemer說，「資安長的角色是有效溝通—組織所面對到的真正風險，以及瞭解不同類型的安全事故會如何影響組織，尤其是現在。...資安長之成功，對於確保整個組織的成功而言至關重要，這就說明了，為何網路安全會升高到董事會層級討論。」

資料來源：https://www.helpnetsecurity.com/2024/07/19/cyber-threats-size-sophistication/

(3)大多數資安長感覺沒準備好新的遵循規定

這是在2024年7月26日在Help Net Security網站刊出的報導。不知道台灣資安長是否也意識到這些變化？

資安長工作在過去幾年有大幅轉變，過去以科技為主的思維，已經進化成更強調安全策略、量化及減少經營風險。在遵循規定下，網路入侵的成本逐年升高，高階經理人瞭解在會議桌上重視網路安全的重要性。

67％的資安長說，他們感覺對新的遵循規定沒有做好準備，同時有52％承認，對於向政府報告網路攻擊需要更多知識。

Onyxia的執行長Sivan Tehila說，「當網路威脅擴大，且提高對未遵守之處罰時，對資安長而言最重要的是，以資料導向的方式來重新評估及強化其安全計畫。我們的調查顯示了關鍵的產業基準，突顯了需盡快注意的強化領域及顯著落差。資安長必須強化其準備、安全衛生，並接納新科技（像AI）以便讓更擴大的安全工具之影響力、保護組織。」

56％受訪資安長承認，他們不滿意目前的事故回應策略，並指出在處理網路安全事故上明顯需有效改善之處。隨著規定修訂，許多組織感覺他們缺乏適當的指引，或某些條款難以理解。比如，所謂「重大」事故所指為何？

67％說難以有效說服長字輩主管他們的安全策略，並確保其措施被採納。有趣的是，有5年以上經歷的資安長僅19％認為：對高階經理人分享其策略是非常容易的，而經歷較少的有40％這麼說。

84％的資安長現在會衡量其安全計畫之有效性和績效，方式有試算表、分析師，或兩者都有。儘管仰賴人工，但資安長是有看到AI的潛能。

Onyxia Cyber的資安長顧問Chris Roberts說，「我們這一行正在經歷演變階段。對我們這個正在成熟化的產業，現在這個時候多數的其他問題主要是透過業務推動力、領導人對話、法務、遵循、監理及當責對話。」

資料來源：https://www.helpnetsecurity.com/2024/07/26/cisos-compliance-regulations-preparedness/