"7 misconceptions about the CISO role"是由Esther Shein寫、2025年3月17日在CSO刊載的文章。以下來介紹這七點誤解。
1.資安長只是「安全人員」
今日資安長典型上與日常營運無關。他們要更關注於大問題,比如保護工作流與雲端應用程式,還有AI工具。
有時候他們還會參加併購策略、評估潛在收購標的的安全狀態,以辨明任何風險—會影響估值、監理遵循或與當前公司之整合。
Liberty Mutual Insurance的執行副總裁與資安長Katie Jenkins說,他也會花時間到主動規劃、與利害關係人接觸,瞭解他們的優先事項,並教育他們和自己相關事宜。
除了確保基礎設施以外,有效能的資安長會關注確保業務。這就需要瞭解安全如何融入企業:不只是聚焦於風險管理,還有確保安全能協助公司向前邁進但不引發其他問題。
2.安全只是技術功能
資安長角色正在演變,今日必須戴好幾頂帽子—當心理學者、教育者、外交官,以便說服人們安全是每個人的工作。
經常會這樣:沒有人注重安全,直到問題發生。此外,領導人或許也不會是安全為企業文化的一部份。專家說,強大的資安長會花很多時間與使用工具的人合作。
安全資源公司LLC.org資安長Sam Taylor說,她總是在做這件事。「現實中,我的工作裡有70%是風險管理、溝通和確保長字輩主管認真看待安全。我花在董事會的時間會比在安全營運中心多。領導團隊才不關心技術語言,他們在意的是財務語言。」
Taylor解釋說,安全局勢弱會引發上百萬的營收損失、法律費用、監理罰款,這樣他們才會聽。
雖然要從最高層開始,但MorganFranklin Cyber的John Allen說,「很少有董事會與企業領導人會視網路安全不是IT功能,而是企業風險問題。我的一位金融業同事說,他們董事會認為安全威脅用工具或軟體就能解決,不認為有治理的重要性、需要員工訓練和文化改變。」
LexisNexis Risk Solutions的技術資深副總裁及全球資安長Flavio Villanustre說,很多人都視網路安全為技術問題。「這可不是事實。現代資安長要負責全方位的網路安全,可不只有技術面而已。」
Allen說,關於資安長角色就只限於特定產業,可是一大誤解。比如,在媒體與電信業,安全通常會被視為遵循作業,或者IT部門的事,而非企業韌性基本推手。他說在與一位數位媒體安全經理人談話時對方說,領導人關注監理遵循,但忽視了積極投資安全。
Allen說,「現實是,安全需要整合進企業策略,從媒體的智慧財產保護到確保電信網路免受民族國家威脅的安全。」
3.資安長全面控制網路安全
許多高階經理人與董事會相信,聘一位資安長就代表安全受控制了。事實上,網路安全是整個企業的責任。Allen說,「若缺少了所有部門的合作,資安長影響力會受限。很多資安長在倡導安全措施時常會說,會遇到重視便利、短期財務收益高於減緩長期風險的領導人抵制。」
比如,有一位Fortune 500公司的前客戶告訴Allen說,預算吃緊、且營運風險容忍度通常高過其安全建議。Allen說,「安全領導人必須面對艱困的妥協,而且當事件發生時,他們會受到不公平的責備--其建議在企業權衡後並未完全落實。」
相關的誤解是:很多高階經理人認定資安長在安全策略上有完全的自主權。不過,安全主管通常是在激進產品路線圖、吃緊與算以及高階經理人風險寬容這些限制下工作的。
「同樣的,在電信業,安全團隊或許會建議保護關鍵基礎設施,但最後的決定卻會受到企業優先事項、監理壓力或客戶要求所影響。」
當事件發生後,資安長通常要負責,即使企業不重視他們的安全建議。
4.有長字輩頭銜,代表他們是公司內的主管
Software Engineering Institute at Carnegie Mellon University的Gregory Touhill說,高階主管與董事意思是,會受到董事與高階主管保險保障的對象。若有發生重大網路安全外洩事件,但資安長未受保障,那他可就要負個人責任。Touhill說,對資安長(及其候選人)重要的是,詢問公司是否會納入保險內,以便他們在為公司最佳利益工作時會受到賠償,如此才會受到個人的起訴。
人們不會認為資安長會因為工作而有個人法律責任的風險。Villanustre同意說,「資安長角色也不會置外於—由於持續變動的網路安全局勢而引發的挑戰,因為風險與威脅者在變化。事實上,資安長越來越要為民事和刑事責任負起個人責任。」
Villanustre觀察,這可能會造成資安長平均任期縮短,現在的範圍是18至26個月之間。「這可遠低於長字輩主管平均任期的五年。」
5.資安長可消除風險
安全主管應該要能在外洩事件發生前就阻止,這個期待並不現實。外洩總會發生。他們的工作只能將影響降到最低、保有系統韌性,以及確保公司在發生後盡快復原。
RedSecLabs的執行長與創辦人Rafay Baloch說,「人們通常會以為資安長可阻止所有攻擊,但可不是現實。資料外洩是時間問題,而非機率,此挑戰者前述觀點。」
Liberty Mutual的Jenkins說,這源自於一個大的誤解:「網路安全就是有網路安全頭銜者的工作,事實上,整個組織都是防禦的第一線。」
6.資安長是創新的阻礙
企業主管通常會視安全是路障,認為資安長會以嚴格的風險評估和遵循要求拖慢創新。另一方面,許多資安長實際上可協助企業快速往前—確保創新可安全地進行。
安全應該被視為是全公司的,需要每個部門的接納,而資安長可不能被當成只有他去防禦網路威脅就好。
Allen說,在很多產業裡,網路安全必須平衡:風險與業務敏捷性、監理要求與使用者經驗,以及網路安全與公司創新目標。「他們的角色超出了技術監督—必須作為策略伙伴,縮短安全、產品發展以及企業營運之間的落差。」
7.資安長有心理健康的問題
資安長可解決工作壓力,這可是錯誤的認知。Touhill說,縱使無時無刻都會受到攻擊,以為當上資安長就不用注意心理健康,那可是大錯特錯。
他強調鼓勵資安長不僅要注意自己安全團隊的心理健康,也要好的副手讓自己可以去渡假。他說,無止無盡的馬拉松是不會贏的,必須照顧自己、持續注意自己的心理健康。
資料來源:https://www.csoonline.com/article/3846288/7-misconceptions-about-the-ciso-role.html
沒有留言:
張貼留言