金管會為了強化企業資安管理機制,要求符合條件的上市櫃公司設立資安長及其專責單位,資安威脅成指數型成長,資安議題被搬上檯面逐漸倍受重視,同時企業也面臨數位轉型的挑戰! 企業必須開始衡量一手資訊一手資安要如何達成平衡,資安長在這樣的挑戰中主要角色定位又是什麼? 該做些什麼?
資訊長(CIO)與資安長(CISO)怎麼區分? 依台灣目前的任職方式其實沒有明確的界線,但於工作內容上資安長有必須要為其負責的地方,包含確保公司得以正常營運,即時分析威脅,了解目前資安威脅趨勢,為企業利益者了解潛在的風險,保護重要數據資料,確保相關資料不會遭到竊取或是濫用,最後一點是建立安全架構,確保IT和網路基礎設備可以達到安全防護,資安長及資安相關人員必須先了解企業的核心為何再去了解如何制定計劃保護這些主要核心,制定計劃時需要全盤了解企業的環境,並不可用走一步算一步的心態來完善資安,制定好資安藍圖方能再每一步執行時了解為何而制定,最大化的降低資安風險。
資安是一場持久戰,過程就像搭建一座堡壘,有了主要堡壘(企業核心價值)之後就會開始建立城池,先建立好外牆,圍護城河讓敵人不能輕易地進入領地! 接著築起內牆做第二層防護,確保第一層防護遭到厲害一些的敵人突破後還能有第二道防護措施,接著要提升領地人民的素質,一同抵禦防範外賊,在這些基礎的建立完成後,接著要思考的是敵人還會用什麼方式進攻、滲透,故日常要做好防禦,並針對遭攻擊的地方進行推演補足缺口,培養守衛,從日常中找到異常行為人士並抓住審訊,同時進行回報,查看是否仍有同黨,將其一併剷除,即便我們做了萬全準備仍有可能會有疏漏,還是會有被攻擊所造成的損害,此時就要仰賴平時做的充足準備來彌補損害,而我們通常做到這一步就沒了,因為平日的安逸會逐漸讓人放鬆警惕,殊不知外面的攻擊者早已準備好更強的武器準備要再度來攻略城池,若是城主維持原本的配置,當對方再度發起攻擊時造成的損害將會越來越大,攻擊是不會停止的,唯有在過程中不斷的學習、改進才能將風險降至最低。
安全營運好比維持城中的運作,當有人發起攻擊時能在外牆進行攔截,那城內的人民就不會受到影響,但若是有漏網之魚突破了第一道城牆,可能是攻擊猛烈,可能是技術高超,也有可能是神出鬼沒,無論哪種方式都有機會可以進行突破,而第二道防線,人民的素養,守衛的職責將會在此時發生作用! 共同協力抵禦外患,讓人民的得以維持正常工作,國家方可持續運作,這就是第一道任務! 確保企業營運不中斷。
蒐集網路情報,隨時更新最新威脅情資,了解敵人的動作才能制定對應辦法,或許你不會是被攻擊的目標,但有誰能夠為你保證你絕對不會是被攻擊的目標嗎? 也不一定是別人主動來攻擊,也有可能是你掉入別人設計好的陷阱裡! 故蒐集網路情報了解最新資安趨勢,並反思威脅發生在自己身上是否可以應對,這是面對外在威脅的第二道任務! 了解可能發生的潛在威脅。
做好內部數據保護,數據如同堡壘中最重要的核心,可以是武器製造方式,可以是萬卷藏書,如果失去了它那這個堡壘將失去被攻打的價值,同時也意味著原先所打造的一切都要捲土重來,有多少人可以承受辛苦多年累積的成果一夜之間被破壞殆盡? 做好數據保護是極為重要的任務,前面兩項任務已經有做了外在威脅的抵禦,但我們仍不得不繼續設防保護,包含將核心放置於專門的藏寶庫,安排守衛,門禁,相關制度,不論是外部威脅又或是內部隱憂都要最大程度的避免核心遭到破壞,數據保護的方式有非常多種,該如何規劃就得依核心價值而定,一間企業核心價值可能是客戶資料,可能是提供的服務,可能是設計圖檔,可能是各式歷史文件等,企業應依循核心去設計資安藍圖
建立安全架構承接了上述所有的任務,維持安全營運,蒐集網路情報,做好數據保護全都是架構在安全之上,而建立安全架構取決於企業繪製的資安藍圖,照圖施工的效率及準確度遠比看到了缺口補足這個缺口來得完善,但企業本身就已經擁有相關環境又該如何去規劃呢? 企業可以從兩個面向進行規劃,第一個,重新審視企業目前擁有的資安保護有哪些,並根據現行資安趨勢去調整制定藍圖,第二個,從缺口看全面,可以透過工具弱點掃描或是資安團隊進場協助企業找出漏洞缺口,將所偵測的不足進行策略性規劃,兩者皆可以做到持續性的改善,為企業最大程度的降低資安風險。
資安的重要性只會越來越大,投入新科技的懷抱同時也要做好安全保護,當我們上了一台新世代飛馳的快車準備往前衝到最前頭,也要注意是否可以剎車,安全的落地,資訊與資安是一體兩面,資訊長與資安長可以是同一人但必須得注意的是工作內容要看不同面向! 未來只會有越來越多的資安威脅需要面對,即早的認知及規劃才是現階段企業主要任務。