疫情加速全球產業數位化進程,一方面,組織化的駭客攻擊正成為具有制度的產業生態系,資安保護成了企業最重要也最具挑戰的職責。金管會在本(9)月稍早宣布,明年第一季前將強制所有金融業者設置資安長一職,消息一出引來網友討論:設置了「資安長」之後,就等於該企業「做足資安」了嗎?

趨勢科技台灣區暨香港區總經理洪偉淦接受《TechOrange 科技報橘》專訪表示,這兩件事當然不能劃上等號,但「沒有資安長,資安恐怕更不容易做到!」

為什麼不讓資訊長(CIO)兼任資安長(CISO)就好?

設置了資安長的職位,除了有一個人能專門為資安負責之外,最重要的還是設置了之後,該職位即將在組織中發揮的效果。

洪偉淦指出,許多台灣企業普遍會有這樣的迷思:「公司已經有資訊長了,為何不能靠資訊長來掌管資安任務就好?」

事實上,這樣的迷思與資訊系統的開發與維運思維有關。

洪偉淦解釋,「架構資訊系統的原意是為讓企業營運更效率、更順暢,開發者會希望它方便好用,每個人都容易上手,但當有心人士例如駭客進入到系統中,系統曝險狀況就會很嚴重,因為太方便、太毫無遮攔。」

若在開發時把安全考慮進去,運作上就會帶來不方便,「安全與便利往往不能兩全,因此某個角度而言,資訊與資安是互相制衡的,資訊負責讓系統得以維運,資安則將風險降低。」

因此,若兩件必須互相制衡的任務都讓同一個人負責,安全就極有可能被便利性犧牲掉,這是因為無論是企業主或資訊長,往往都會抱著「先讓服務上線再說吧!」的心態,先將服務推出。「尤其是沒有遭遇過資安事件的企業更會如此。」洪偉淦說。

先讓服務上線會發生什麼事?請看:
【五倍券資安之亂】郵局網頁大出包!資安專家:政府、企業要加強 DevSecOps 觀念

在國內,金融業者因為曾碰過資安事件多少有點資安意識,但在其他產業領域,例如醫療,就較少見到這樣的討論聲量存在,但醫療產業其實擁有高價值且私密的健康資料,在疫情襲捲前駭客入侵醫療產業就已經成長 49%,影響 4,140 萬患者的醫療紀錄,而在疫情期間,醫療保健與金融服務、公共管理、零售業共同成為駭客最垂涎的攻擊對象。

資安長該怎麼設置?隱含企業營運巧思

「國外顧問公司都建議資安長、資訊長不該有從屬關係,而是分別 report 給 CEO。」資訊長、資安長彼此的位階必須相同,是平行、制衡,更是互相合作的關係,一同達成業務目標同時顧及資訊安全。

洪偉淦提醒,最重要的是,企業主與高階主管必須給予資安長足夠的支持和授權,而資安長也有職責必須讓董事會、CEO 知道風險可能是什麼,如何降低風險至企業可接受的程度,中間要投入多少資源去降低風險等。

他強調,有了資安長不一定有資安,但若沒有資安長,更難有人專責,「有資安長還是有比較好的設計,我對此樂觀其成。」

(本文提供合作夥伴轉載,首圖來源:Shutterstock。)