數位信任會是企業2023年的灰犀牛事件嗎?|專家論點【Howie Su】
資安長逐漸成為企業標準配備
資安長(Chief Information Security Officer,CISO)正在成為當前熱門職位,許多國家已經將資安視為國家安全議題,要求大型業者設立相關職務,與資訊長(Chief Information Officer,CIO)不太一樣的是,資訊長的職責主要是管理企業後台資訊系統的維運,而資安長是在這些架構與組織中,尋找可能的資安漏洞,以防禦日新月異的網路攻擊,並確保遵守國際規範,如ISO 27000系列認證特別對於身處供應鏈的製造業而言,資安攻擊不僅造成企業內部損失,在外部合作的形象上也容易受到質疑。確實,在當前資安攻擊猖獗下,企業主動出擊比被動防禦好上許多,不過最關鍵的還是需要業者由上而下推動。
攻擊方式為多面向、精準、鎖定特定產業
根據PwC《2023 Global Digital Trust Insights Survey》針對全球管理階層(C-Suite)調查,受訪者認為2023年需要注意的資安議題為網路攻擊、內部員工策反、競爭者突襲、國家駭客攻擊;而在攻擊渠道上,則擔憂數位裝置、email、雲端、網站、物聯網等;攻擊型態則擔心帳戶接管、勒索軟體、雲端攻擊、洩密行動、第三方違規等。可發現在議題、渠道、方式上,因員工疏失導致點擊email中有毒連結的入侵相當受到重視,顯示出資安長的職責並非僅限於資安技術評估導入,日常的資安訓練也是必然。在地理分佈上,美國與歐洲在資安議題的重視超過其他地區,或許可以推論的是這些西方陣營國家的企業在地緣政治緊張下,更容易成為攻擊目標,當然,戰略性重要產業,如半導體與醫療更是如此。
CEO與董事會責無旁貸,需適時投資與授權
由上而下的推動資安防禦少不了執行長與董事會的支持。其中,執行長最重視的事情有三:訂定資安分級檢測措施、企業持續營運計畫,與關鍵資安事件視覺化,牽涉技術層面不多,但這可能是是否授權給資安長的關鍵因素,許多執行長對資安意涵並不夠瞭解,甚至視為費用單位,或是阻礙業務發展的功能;比較有效的解法是將資安視為品牌力的一環,確實,當前從供應鏈、政府,甚至投資人在衡量一家企業時也開始採納資安要素,有些甚至視為公司治理的一環,若執行長能這樣想,並將資安能力列入企業品牌競爭力時,也許整個思維就有所不同。同時,執行長也能明訂資安納入公司發展重點策略,讓員工與資安長更好使力。
董事會亦然,PwC指出,不到50%的董事會成員認為自己企業的資安是「非常有效率的」,也願意推動資安措施,由於每位董事都具備一定影響力,因此如何讓董事會成員具備資安觀念是資安是否能由上而下推動的關鍵。董事會成員可學習的項目包含資安機制、攻擊案例、損失評估、資安文化建立等,最重要的是,資安只有峰期,沒有停滯期,特別對製造業而言,沒有一刻是可以警戒的,因此是否具備完整的指引方針(guideline)成為員工與管理階層遭遇資安事件時的方向。董事會的支持將替資安長注入一劑強心針。
一個CISO+CXO的合作時代正在來臨 當然,資安長也不能單打獨鬥,必須與其他非資安領域的管理階層(CXO)合作才能發揮資安防禦能力。例如,在資安預算上,就必須與財務長做好協調。根據調查,38%的企業將營運科技、IT、資安合成一種預算,再視需求依照比例調整、24%企業的資安預算是從IT預算中撥出一個比重、15%是從企業營收成長中撥出特定比例,但也越來越多的企業重視資安投資,將資安預算與企業策略發展直接掛鉤,與其他預算項目並行評估,當然,這不免造成排擠效應,因此與財務長做好協調有其必要。其他合作對象包含與營運長討論如何將資安納入ESG發展策略、與人資長討論資安人才的招募來源與所需技能、與產品長溝通如何在數位產品開發時即導入資安防護…這些都是資安長需要的工作,當網路攻擊不分部門時,有賴平時的合作默契才能將損失降至最低。
瀏覽 1,108 次