為了隨市場快速變化能靈活彈性回應,許多企業投入數位轉型,加上疫情持續延燒,近期各家公司又開始實施分流、居家上班,這些都使得企業加速將 IT 搬遷上雲。
然而當員工開始 Work From Home,不在企業既有防火牆內存取內網資源,以及有部分地端、部分雲端的 IT 資產與服務同時存在,企業既有資安架構與防禦策略都需調整,才能因應狡詐多變的網路威脅與加密勒索攻擊,而這也是現今資安長的當務之急。
數位轉型、Work From Home 雲端安全備受矚目
當今企業因為數位化程度提升,一旦遭受網路攻擊對營運服務也造成嚴重影響。許多主管機關已透過法規要求企業組織強化資安,例如金管會要求上市櫃公司須設立資安長一職並加強通報責任,以及國際半導體產業協會(SEMI)也於今年 1 月發布晶圓設備資安標準。
然而,符合相關法規只是企業資安工作的基礎,要能因應各種網路威脅制定資安措施,有相當多且複雜的資安偵測技術可部署,舉凡 SIEM、SOAR、EDR、Zero Trust、SASE……等。
Gartner 曾指出因應遠端工作成為常態,預估在 2022 年全球網路安全的支出將來到 1,720 億美元,這意味著 IT 預算必須被更妥善的重新配置,以最大化投資效益。
但在當今資安人才難尋的情況下,資安長如何化繁為簡、建構能兼顧企業效率、安全且能負擔的資安架構?
資安部門成企業資安方針的重要關鍵
Amazon 資安長 Stephen Schmidt 過去曾分享與眾多客戶資安部門在上雲合作中的經驗,他指出成功的資安部門通常能比別人更有效率的調整風險態勢(risk posture),同時能優化雲端服務的使用以快速為企業創造新價值。
他們具備了三項共同特質:
一、與稽核與法遵人員緊密合作,並將稽核與法遵需求早期整合至資安與內控程序中。
二、善用自動化,例如透過 Security as code 來測試防火牆規則的變更以求即時部署。
三、能擁有正確的資訊以果斷迅速做出儘早應變(Escalate early)的決策,因為過去須從一堆軟硬體解決方案中獲得資安決策資訊的方式已太過時。
而 AWS 以安全為基礎的雲端服務,正能滿足企業上述的資安需求,同時由 AWS 負責底層雲端基礎設施與服務安全,能以安全責任共同分攤模式降低企業在資安措施建置與管理成本支出。
數位浪潮下,新世代資安長須具備的條件
隨著上市櫃公司須設立資安長的要求公布後,業界挖角動作頻繁,前陣子傳出金融業向警界高薪挖角的訊息。
AWS 香港暨台灣總經理王定愷分享,企業在聘請資安長時最常詢問的問題是:一、是否了解最新IT技術如雲端、AI 等。二、是否有資安事件、駭客攻擊事件實戰處理經驗,事件影響層面如何。三、事件發生後,如何協助企業迅速恢復營運等。
儘管有資安專業廠商能提供事件處理服務,但在關鍵時刻當下仍必須靠資安團隊自己做出正確反應。
除了資安事件處理之外,資安長也肩負著企業日常資安工作的推動與落實,這就需要具備溝通的能力,讓企業管理高層了解資安重要性,並能爭取資源投入,上述都是新世代資安長須具備的條件。
在疫情衝擊營運、市場變化迅速的此刻,企業必須以資安為前提來發展數位轉型與創新,而不是讓資安成為阻礙創新的枷鎖。
在當今企業邁向數位化、經營各種線上服務的同時,資料安全與隱私保護也成為優化客戶體驗的一環,往往一次勒索加密攻擊損失的不只是贖金、客戶資料、商譽,甚至是導致結束營運的可能,企業需更全面思考善用雲端升級資安防護策略的新思維。
