這篇"Productivity vs security: How CIOs and CISOs can see eye to eye"是由所寫、2024年6月22日在Venture Beat刊出的。以下分享一些要點。
資訊長與資安長通常負責管理在安全和效率之間達成完善的平衡。網路安全越來越成為整個企業的風險,而大多數企業因使用AI成長可能帶來的新風險,這就進一步加強了此趨勢,因此資訊長與資安長就必須比過去有更緊密的合作,確保公司IT資產受到保護—把對終端使用者的干擾降到最低。
多年來,組織都視網路安全為「方格打勾」的作業而已。企業可能就只是遵守標準此最低要求就好。但是當事故的頻率與類型大幅擴大之際,組織現在瞭解了網路攻擊可能的財務和名譽風險。
20年前,Enron醜聞帶動了新一代的企業遵循要求—擴大了財務長的角色,提升在長字輩主管裡受重視的程度,而網路攻擊日益升高的頻率與強度,今日也讓資安長受到更大的注意。
不過,當許多資安長肩負更多的風險遵循責任時,最重要的是安全專家瞭解到:如何更緊密地與資訊長合作,因為他們的團隊負責執行很多安全實務與程序。
雖然資安長整日擔心偵測及恢復網路攻擊,但是資訊長或許可能工作太過分散,無法吸收這些風險。相對地,他們可能在意的是如何讓公司基礎設施現代化,並確保員工更有生產力。資訊長越來越要肩負管理組織AI策略的任務。
資安長與資訊長角色衝突,其實並不罕見。
為了讓資訊長與資安長關係順暢,企業需要瞭解他們現在所需的資安長技能組合類型,以及推動企業向前邁進所需的專長類型。
比如,中型企業或許還不這麼重視網路安全。他們當然瞭解威脅局勢的嚴重性,但是其風險管理委員會可能比較關注其他問題,像多元化供應鏈以確保製造能力,而不會花太多時間思考IT安全。
在這個狀況下,對組織而言明智的是:聘僱一位資安長,將焦點重新置於防禦公司IT環境及發展復原計畫這些技術面,以因應不可避免的攻擊。然而,當企業達到某些規模,投資人就會開始要求將網路安全視為企業風險,並將之提升為董事會層級的問題。而公司此時就應該要考慮,招聘一個有遵循相關背景的資安長。
若資安長最主要的職責是企業風險管理,那麼企業就應該再聘一位副資安長—僅管理防禦性營運的技術面就好。
藉此,資安長就可花較多時間和資訊長一起合作更廣的網路安全策略,並向其他主管溝通這些計畫,包括董事會。同時,副資安長可處理日常工作。
資安長是一個吃力的職位。典型上他們的職權範圍(保護越來越複雜、遼闊的IT環境)非常廣泛。與此同時,資安長能執掌的權力並不大。他們必須在整個企業裡工作,讓好幾個關鍵利害關係人接受,才能落實必要的流程與政策。
通常,資安長會遇到企業內部頑強的抵抗,特別是當安全主管想要落實的措施,會影響到部門主管及其團隊慣常的工作方式。這是為何資訊長必須確保:資安長能直接接觸到適合的主管,不管是行銷長、財務長、全球銷售主管,或其他部門相應的高階領導人。
雖然資安長沒有最終的權力,但是這些部門主管應該認真看待安全主管。資訊長與資安長協調一致,會有助於這項工作,藉此他們對於應該落實什麼事務有共識。
當網路事故發生時,資安長應該有權可執行既有的因應計畫,確保以最低的中斷時間和資料損失,及時且全面的復原。
但資安長也必須瞭解自己的權限到哪。比如,在勒索攻擊時,決定是否要付錢最終還是涉及其他部門主管,像董事會與執行長。
資料來源:https://venturebeat.com/security/productivity-vs-security-how-cios-and-cisos-can-see-eye-to-eye/
(2)是時候把資安長角色區分嗎?
這篇是由Rosalyn Page所寫、2024年6月19日在CSO網站刊出的"Is it time to split the CISO role?"。資安長職位未來不管在哪一國都相當重要,台灣自己也有規定要設置。即早搞清楚相關的挑戰、職權區分,有利無害。以下分享一些要點。
資安長職權範圍在技術面、監管面都在擴大。專家討論了,現在是否是時候要把資安長分一分為二。
網路安全在最近幾年因立法、規範和更多審查而廣受注意。其中一個結果就是,資安長現在的責任超出了只防禦公司的技術層面。
IANS一份研究顯示,資安長不只要監督資訊安全,其職權範圍常包含技術風險與遵循等面向。越來越高的監理要求代表董事會更需要對此監督,而資安長必須讓持續演進的網路風險,和瞭解經營局勢彼此一致。
Enterprise Strategy Group的名譽分析師Jon Oltsik說,資安長需要與企業高階經理人、監理機關、網路保險供應商,還有財務長一起合作編預算,他們必須能使用流暢的經營語言,並將之轉化為網路風險。
與此同時,管理日益複雜技術的需求是越來越高,這需要全力投入的注意與監督。Oltsik告訴CSO說,「技術變得越來越龐大及多樣,並包含發展中的新應用程式以及實施新類型的裝置。我們也正處於採用AI的階段。故有一個真正瞭解所有技術的人,並在企業指引下落實正確的控制,這個角色就會有完全不一樣的功能。」
資安長職權範圍只會持續擴大,到2027年以前,Gartner預測有45%的資安長職權會擴大,超出網路安全,這是受到監理壓力和攻擊面擴張所致。
為處理擴大的責任,有更多組織或許會跟著銀行及其他大企業的腳步走,把負責技術控制與經營風險的幾個角色之間,進行責任的區分。
有一種可能的安排是,資訊長會向執行長及安全科技長(chief security technology officer,CSTO)報告,或對科技導向的安全人士、資訊長報告。
不過,在設計責任與報告線上,還是有許多實務上的考量與風險。讓資安長職權置於資訊長職權之外,可能會讓管理網路風險和技術監督之間又多了一層。這有可能會加深以下兩者之間的差異:(a)關注於維持系統營運的IT運作、(2)重視維持系統安全的安全部分。
根據7 Rules Cyber顧問機構的創辦人與資安長Chirag Joshi,在某些狀況下,由網路安全主管來領導技術、營運及架構團隊,另由資安長領導治理、風險與遵循部門,會比較好。「治理與風險角色可能會與董事會有更多議合,報告指標及措施、策略與政策。」
美國SEC的要求之一是—提交年度網路風險管理計畫,而這通常是治理主管的責任。他們會建立一個考慮控制措施的策略,但需要有一個必要時能獨立運作、能進行挑戰的支持策略。Joshi說,「在營運與風險責任之間有一條分界線,是有幫助的,因為藉由此獨立性,更可以挑戰風險選擇。」
藉由將資安長角色升高為長字輩主管,在策略上他們就成為了關注風險管理的企業顧問。相對於單純地回答「我們如何維持安全」的問題,問題會轉變為—組織是否應該做「這件事」,這或許會採取新的應用程式或其他安全考量。
為在這方面成功,資安長需要採用高階經理人的語言,而且要能以等比例的投資及相應的風險控制說明事宜。「他們需要風險語言,但不只把風險分為高中低,還要能描述為何你決定要等比例投資控制,以及如何衡量風險胃納。這是更困難的對話,不像把風險分為高中低這麼直接。」Joshi告訴CSO。
為成功調整焦點,資安長需要從事像財務、公司策略方面的事宜,並在此架構裡陳述網路控制,而非只是每季提報告或警示而已。Joshi說,「資安長需要將其風險分類納入整體企業風險分類裡。」
在其他的環境裡,組織或許能參照大銀行(比如渣打銀行)的作法,採取一個三線(營運、風險與查核)責任分配的模型。FTI Consulting的澳洲網路安全負責人及資深總經理Wouter Veugelen指出,由網路安全營運主管負責落實控制與系統,資安長負責監督風險與遵循,而第三個職位負責查核,以獨立地審視網路安全部門。
Veugelen說,「安全營運主管會做所有預防偵測因應措施,而資安長則專注於治理、制定安全控制政策及確認遵循,但他們不會負責落實,因為要一個人做所有事的話負擔會太重。」
然而,在把安全角色區分時,也有許多挑戰,特別是在當責性上。把多個角色之間進行區分,會讓誰為整體網路安全管理及結果負起最終責任,變得不清楚。此外,若把營運上的安全控制與治理、風險管理分開的話,有可能難以確保兩部門之間有適當的當責性。
對此Veugelen建議,組織對責任需要有明確的政策及指導方針,以避免不同安全職位及部門之間有落差或重疊。他也警告,負責網路風險者,若無權掌握所有減少風險的控制,就不需負擔所有風險。
同樣的,對於負責向董事會報告風險的人,也會有衝突。大多數狀況下,資安長是向資訊長報告的,再由資訊長對高階經理人報告,但這個安排或許無法真正有自由且坦率的風險評估。Veugelen說,「若資安長需要向董事會報告風險,但董事會的文件仍需經資訊長的話,則所報告的網路安全風險,可能會是資訊長不樂見的。」
在這個狀況下,資安長也需要有向風險委員會報告的直接管道,至少關於資安長如何看待風險,要給他們有平衡的報導機會。
小組織或許缺乏所需的流程及結構,能有效管理多個資訊安全經理人,而這有可能會導致各角色之間的落差、甚至重疊。Veugelen說,「為支持組織內不同的安全職位及部門,也可能會引發額外的成本。」
資料來源:https://www.csoonline.com/article/2145845/is-it-time-to-split-the-ciso-role.html
(3)資安長在網路安全上角色的演進
這篇是由DefenseStorm資安長William Wetherill所寫、2024年5月30日於Spiceworks刊出的"The Strategic Evolution of CISO Roles in Cybersecurity"。以下分享一些作者觀察。
美國SolarWinds一案,關於未能優先重視網路安全與透明,引發了擔憂,但這也刺激了對資安長法律責任有更區別性的觀點。美國SEC以舞弊和內控失利為名,要求SolarWinds公司及其資安長為已知的網路安全風險及漏洞負起責任。
原告主張,SolarWinds及其資安長欺騙投資人,誇大公司的網路安全實務作法與瞭解,或未能揭露已知風險。此案突顯了網路安全實務透明度的重要性,以及未做到這件事的潛在法律與財務後果。它也突顯了,需要清楚說明資安長在推動有意義變革的權限為何,同時確保整個長字輩主管都優先重視網路安全。
資安長要保護其組織,需要擴張其策略角色,並清楚建立職權範圍以做出關鍵決策。高階領導層可與資安長一起合作,用以下七種方式拓展其角色:
1.風險管理:高階經理人可主動辨識、評估與減少網路安全風險。這涉及到瞭解組織的風險胃納,並據此連結到網路安全策略。他們可使用風險評估工具及方法,辨識可能的漏洞及威脅,並發展減少策略。這也包含持續監控和更新風險管理計畫,以適應變動中的威脅局勢。
2.資訊安全政策之發展:資安長可引領網路安全政策及流程之發展和落實。這包括對資料保護、網路安全和事件回應制定標準。他們可與各式利害關係人發展符合組織目標及監理要求的政策。這些政策應該定期予以審視和更新,以維持其實務性和相關性,而且要經過高階領導人核准。
3.訓練和意識:發起網路安全意識計畫,教育員工關於潛在網路威脅、遵守安全政策之重要性。這些計畫可包括定期的訓練會議、工作坊和模擬,以協助員工瞭解他們在維持網路安全的角色與責任,這會培育具安全意識的文化,讓每位員工都真心接受:他們在維護組織安全角色上的重要性。
4.事件回應計畫:這涉及發展一個管理安全漏洞、減少其影響的計畫。他們應該建立和測試旨在協調各團隊的流程,以便快速而有效地回應安全事故。這也包括進行事件後回顧,以便從事件中學習、改善組織未來的回應。
5.與業務單位合作:這會確保安全不只是亡羊補牢,也是企業策略的重要部分。他們可引導與支持業務單位落實安全措施,並遵守安全政策。
6.跟上當前的趨勢:持續更新最新的網路安全趨勢、威脅與減少風險策略。此知識可提供策略決定資訊,並確保組織的安全措施是最新的。他們可參與產業論壇、出席網路安全會議,並與其他組織合作,跟上此領域的最新發展。
7.監理遵循:資安長可領導與網路安全規範相關的遵循措施。這會協助確保公司避免罰款與潛在的法律問題,同時又強化組織的安全狀態。他們可與法務和遵循團隊合作,瞭解遵循要求並確保組織的實務與之一致。
在策略角色擴大之際,資安長可大幅強化組織的網路安全狀態、以及面對網路安全之韌性—透過原本只把責任放到資安長身上,轉為由所有長字輩主管分攤責任的集體措施。資安長應該與高階主管一起合作,審視並依他們的建議而做出決定,同時確保安全措施符合組織更廣的營運目標。
此外,他們應該與經營團隊合作,發展整體性的風險策略,以建立可接受的風險門檻以及積極措施,以可接受的水準減少風險。資安長也應該直接向董事會溝通,讓他們能直述安全問題與建議。在有了必要的措施、建立職權範圍與共享責任之下,資安長就能更佳地履行其職責。
資安長應該要整合到決策流程內,具備權力以影響網路安全的重大轉變。應該認知到其策略的重要性,並將網路安全納入整個營運策略之內。這不僅是為了避免法律和財務上的影響,也是確保組織的名譽、確保策略措施成功,以及最終的:保護獲利。
資料來源:https://www.spiceworks.com/tech/it-careers-skills/guest-article/role-of-ciso-in-cybersecurity/
沒有留言:
張貼留言