美国联邦资讯长委员会在推特宣布,将由退休的美国准将Gregory Touhill,担任第一位美国联邦资安长角色。
图片来源:美国联邦资讯长委员会
在今年九月,美国总统欧巴马在他即将卸任之际,还是把从今年二月开始对招聘的联邦资安长人选,在悬缺7个月后,正式任命已退休的美国准将Gregory Touhill担任首位联邦资讯安全长(Federal Chief Information Security Officer,CISO),负责推动美国联邦政府的网路安全政策、规画及导入。
除了美国政府之外,行政院资安处正在草拟的资安管理法中,也直接明定,要求公务机关应该要设置资通安全长,并且由机关首长指派副首长或适当人选兼任,负责推动及监督机关内资通安全相关工作与事项。
而这样的指派其实只是延续「行政院国家资讯通信发展推动小组设置要点」(NICI)总召集人就是政院资讯长,可由院长指派适当人选担任,目前行政院资讯长角色则是由政务委员吴政忠兼任,但是因为NICI的任务到今年底就要结束,为了延续这样制度,便在资安管理法的草案中,看出承先启后的意味。
明定公务机关要设置资安长的角色,但是非公务机关却没有强迫,行政院资安处处长简宏伟表示,指定副首长是希望透过副首长的高度来推动资安,避免资讯单位难以推动跨单位的协调;而非公务机关虽然没有强迫,但相关单位可以是需要自行设置,只要可以达成相关的资安防护措施就好了。
但是,面对诡谲多变得资安威胁,非公务机关没有设置资安长,真的好吗?政府为了减少非公务机关对于资安管理法的抗拒,在某些条文也没有刻意强迫业者配合。
只不过,在现在这个零信任(Zero Trust)的环境中,如果非公务机关也能有资安长的设置,这也意味着,该机关已经将资安视为公司营运风险的一环,透过资安长参与相关营运目标和资安政策、作为的讨论和制定,更能确保该公司已经接受资安政策和作为的落实与否,甚至可能影响公司营运甚至危及公司生存的现实。
设置资安长成为企业重视资安与否的表徵之一
资安长在10年前,还只是一些美国上千人以上的大型企业或跨国企业,才有配置的专业人才,例如金融、电信、运输、高科技和政府等。但是,到现在,因为网路犯罪的横行,资安不仅备受重视,设置资安长的企业也变多且多元了。
以IBM在2016年的CISO调查报告中就有预估,网路犯罪对于全球经济造成3,750亿美元~5,750亿美元的经济损失,实际金额虽然难以準确估算,但是,以目前来看,所有的产业都很难置外于资安风险的危害。
也因为资安的风险越来越高,有越来越多企业也开始设置安全长(CSO)或者是资安长(CISO),重点在于落实安全与风险管理,以延续企业的正常营运,避免可能的财务损失、风险危害,甚至是更严重的国安风险等等。
不过,企业在设置安全长或者是资讯安全长,甚至是包办公司整体营运风险的风险长(CRO)时,如果这几个角色是公司独立的高阶主管,甚至是提升到必须参与董事会的运作时,这些角色往往具有更高的实际权力。
但是,如果这些角色并不具有如此高的影响力时,更多时候,不论是安全长或者是资讯安全长等,甚至可能只是财务部门、稽核部门,甚至是IT部门其中的一个组织分工角色时,要真正发挥到应该有的风险控管角色,往往在实务运作上,会有极大的落差。
若引述IBM在2016年发表的CISO报告也可以发现,从 2006年以来,设立 CISO的组织数量已经呈稳定成长,每年约成长10%;在2006年有22%的组织回报已设置CISO,到了2011年则上升了8%。在此份调查报告的所有受访者中,更平均有71%的受访者指出其组织设置有CISO。
从这样的趋势也可以发现,因为各种资安和网路风险的複杂和威胁升高,传统的资讯长(CIO)已经没有能力处理这类的安全议题,才让资讯安全长或者是安全长、风险长的角色,越来越关键,这甚至也成为一种企业是否重视资安的表徵。
举例而言,2011年索尼(Sony)公司包括Play Station Network、Qriocity音乐随选服务,及线上游戏子公司网站Sony Online Entertainment,都遭到骇客入侵,外洩资料总计超过1亿笔,这起当年最严重的资安事件发生后,也迫使索尼公司必须要设立一个资讯安全长善后。
但是,不论是设立安全长或是资安长,因为要协助企业解决从实体安全、人的安全、系统安全甚至是业务安全的议题,通常必须具备十八般武艺,像是IT、资安、稽核、法律、财务和管理等等,其中,IT技术是资讯安全的基础,而对于「安全」的观念,才是企业安全的本质。
资安长或安全长的权力,往往来自组织内的位阶,或者是来自高阶管理阶层甚至是董事会的授权,因此,有些公司中的资安长可能是独立的角色,有些则是隶属于某些部门主管之下的角色(例如资讯部门、稽核部门甚至是风险部门等等)。
但是,要发挥资安长价值的真正关键在于,「资安长是否具有独立决策的能力和权力」,也就是说,如果企业内不论是资安管理和法规遵循的决策,资安长都具有实质的决策权力时,这就是一个有权力的资安长,企业才是真正把资安视为企业营运重要环节之一。
资安长与资讯长角色冲突,执行长需具备资安高度
对于资讯长而言,提升效率、降低成本,都是利用IT科技可以快速看到的效益,但是,对于资安长而言,为了安全可能要牺牲效率、增加成本,甚至于,就算持续投资在资安领域,资安长也很难像资讯长一样,可以衡量出有多好的投资报酬率,因为,资安的投资往往是水深不见底的长期投资,一旦有资安事件的发生,都可能是来自一个不小心的忽略造成的后遗症。毕竟,资安的投资成果就如果水桶理论一般,水桶的容量是取决于水桶最短的木板长度一样,稍一不慎,甚至可能前功尽弃。
也因此,面对角色职能冲突的资讯长和资安长,对企业营运成败必须付全责的执行长(CEO),就必须具备资安的高度,可以从资安长的风险评估中,釐清该风险对企业带来的影响程度。
往往,执行长对资安的支持程度,将取决于资安长是否有能力,可以将风险对企业营运带来的影响範围和程度讲清楚、说明白。「如果资安长没有说明资安风险带来的影响和範围的能力时,这就是一个不称职的资安长。」
当然,不是所以的执行长都可以具有企业资安意识,甚至具备资安高度,但是,如何迫使企业的执行长们,不要因为短视近利,选择牺牲短期的资安投资,却换来长期资安风险大增呢?
这其实可以参考英国国会在今年6月曾经发表的「资讯安全:个人资料与线上内容保护」报告,其中就提到,英国政府对于屡屡遭受资安攻击却迟迟没有任何改善的企业,除了开罚最高的罚金之外,也建议,应该要把企业执行长的薪资奖金的KPI之一,与企业的资安防护能力好坏做连结,唯有如此,执行长才真正会把资安这件事情放在心上。
设置资安长的确是一种企业落实资安治理的展现,但是,不论资安长这样的角色是独立的,或者是隶属于某个单位下面,更重要的关键在于,企业内部一定要有专门的资安负责人,才是真正落实当责机制;另外,也必须有能力落实风险评鉴(RA)和商业冲击分析(BIA),找出企业内的脆弱环节并加以保护;并且彙整既有的各种防护机制,制定出一套符合该企业文化和作业流程的资安防护SOP,这就是称职资安长应该具备的能力。?
上週重要资安新闻(9/25~10/01):
※D-Link DWR-932 B遭爆有约20个安全漏洞,研究人员:别用了
※沃通与StartCom凭证信用破产,遭Mozilla自信赖名单中剔除
※史上最大DDoS攻击来袭,逾14万台网路摄影机带来近1Tbps的巨量攻击
※资安处预计10月中将资安管理法提报政院,最晚11月送立院审查
※动作好快!Yahoo资料外洩已有用户提集体诉讼,Verizon收购案生变?
?
?
?
I 相关 / Other
国币货币基金今天公布“世界经济展望”报告,再度将台湾今、明两年的经济成长率预测值分别下修至1.0%及1.7%。相较于4月的WEO报告,IMF对台湾今、明两年的经济成长率最新估值双双下修0.5个百分点。今年4月时,IMF预估
台湾防止虐待动物协会表示,欧盟2004年起已禁止当地使用动物实验产售的彩妆保养品,2013年3月后则禁输欧盟;而台湾若顺利立法,最快2020年起,这类国产彩妆保养品可望禁卖。台湾防止虐待动物协会议题宣导暨法务部门
台湾P2P网络借贷市场才刚起步,目前已有4家业者营运,据金管会官员转述,有一家来自香港的业者也拟登台,抢进台湾市场。为促进网络借贷业务发展,金融监督管理委员会于9月底召开P2P网络借贷平台在台发展公听会,讨论
承业医今天与日本樱十字集团于日本熊本完成合作备忘录签署,宣布将携手进军台湾长照市场。承业医耕耘台湾医疗市场近40年,近年来积极朝多方发展,看准台湾长照商机,拟结合日本知名长照品牌,进军长照市场。全球人口
台湾化学纤维副董事长洪福源质疑,彰化县长魏明谷有预设立场,说台化没理由留在市区,“态度彷彿在说这块土地是我的,你怎可在这阻挡我的利益。”魏明谷上午在台北参加活动受访时表示,台化彰化厂关厂案和都更无关,