資安是「治理」而非技術面,第一防線資安長如何建企業護城河?

作者 | 發布日期 2022 年 12 月 19 日 9:00 | 分類 公司治理 , 網路 , 資訊安全 line share follow us in feedly line share
資安是「治理」而非技術面,第一防線資安長如何建企業護城河?


惡意軟體勒索事件頻傳,使企業更加重視資安防護,金管會規定上市櫃公司必須設置資安長與資安專責單位,有利企業內部執行資源調度。不過許多人至今仍不了解「資安長」與「資訊長」差異,以及在資安防衛戰中身為第一防線的功效。

勤業眾信風險諮詢服務執行副總經理簡宏偉指出,資安不是技術面,是「治理」,需要決策層參與,以及董事會溝通。因此,資安長做為「監督、稽核」角色,掌握全公司風險藍圖,資安風險管理不只資訊安全還有通訊安全,推動政策時須配合營運團隊和董事會願景,協助風險控管。

至於資訊長 / 數位長,則透過資通訊科技,配合營運團隊目標,促進產業轉型或者加速工作流程改善。簡單來說,資訊長偏向執行、規畫,從數位化推動方向,資安長是獨立稽核、風險監督。

資安長、資訊長位階怎麼安排?

簡宏偉表示,部分公司因成本考量合併兩者,但若監督、規畫、執行都是同一人擔任,恐難以發揮功效,「資安長應是獨立第三方稽核單位,與資訊長合作制衡」。他也分享美國聯邦政府的合作模式:

1. 資訊長在資安長之上

企業較著重在組織「數位化」推動,選擇由資訊政策帶領整個組織發展。當系統上線時,必須先經過資安長簽核、確定資安部分無問題,再由資訊長做最後簽核,上線系統。

2. 資安長在資訊長之上

對企業來說,「資安防護」、「風險管理」較推動數位化重要,系統上線時資訊長先簽核,再交由資安長簽核。

3. 資訊長、資安長平行

兩個職位是制衡的,有賴更高階主管協調。

資安長該由誰擔任?

簡宏偉認為,除了有資安專業外,資安長職責在於統籌、協調不同部門合作,必須是高階人員勝任,最好是機關副首長或者副首長授權的人員,如副總經理來擔任資安長。

他解釋,副總經理以上的人做為資安長,一來可負責對董事會報告,二來是能做好統籌、協調和資源調度,細節交由技術長或資安專責單位執行;若由技術人員擔任,最多只是管理,重要決策時不一定符合董事會願景和發展藍圖。

舉例來說,若公司遇勒索軟體使業務暫時停擺,在抵擋攻擊後必須開始復原,該先恢復作業和營運,還是先保存跡證?簡宏偉說,這無法由資安長單獨決定,而是董事會抉擇,所以資安長必須分析,並向董事會報告,再由董事會決定重要決策。

▲ 遇勒索軟體該立即修復還是花時間保存,須由董事會決定。(Source:Pixabay

但資安長一上任可能會遇到諸多問題,例如前期資源分配較少、資源調度問題,董事會期望短期內看到資安發展藍圖等。簡宏偉解釋,公司可能認為資安維護耗費成本,且會阻礙發展速度,所以不會給予太多資源,所以如何協調跨部門合作成為新挑戰,比起技術問題,更多是協調和合作問題。

資安專責單位是什麼?

資安專責單位主要是規劃整個公司資安管理,必須制定政策、掌握公司風險圖譜, 包括資產和風險鑑別、風險評估、控制措施等,決定該採取哪些策略後交由資訊、業務部門等執行單位進行。

若進一步談,資安專責單位可分成三部分:

1. 管理:管理制度,確認是否合乎法規,規畫委外管理制度。

2. 稽核:資安稽核,進行內外部稽核及整個執行監督。

3. 應變:監控公司資安防護能力,事件發生時即時應變和處理 事後進行數位鑑識。

簡宏偉表示,如果公司達一定規模,資安跟資訊最好是平行單位,資安長、資訊長底下各自有自己的專責單位。

舉例來說,有些企業系統是內部自行開發,過程中就必須有資安部門參與,定義所謂的「安全軟體開發流程」,確認整個開發過程是否遵照這一流程。根據國外報告,如果軟體開發沒遵循類似的流程,等開發完才外掛資安防護,會使漏洞變得更多、成本也高。

企業面臨哪些資安威脅?小心自己人!

以往資安是自家企業學習自我防護和管理,但這幾年攻擊事件、漏洞大都來自供應鏈,不管原物料供應、系統供應、服務供應、委外廠商、甚至是自家企業系統,都可能成為漏洞來源。

簡宏偉指出,因為許多系統模組可能使用開源軟體,可能被植入惡意程式或本身存在漏洞,這都是供應鏈安全的一環。也因此,部分企業開始規畫供應商生命週期管理,設定供應商分級分類,以降低資安風險。

另一個攻擊是「社交工程」,即利用人性弱點,如財務部門收到匯錢通知、供應商變更帳號等方式,獲得通行碼、帳號或其他機密資料,突破企業的資通安全防護。

因此簡宏偉建議,企業應秉持著「零信任」(永不信任,始終驗證)的概念來建立核心架構,弭平業務、資訊和網路領域間的差距,降低營運複雜度,強化生態系安全。

(首圖來源:shutterstock)

延伸閱讀: