主導型資訊安全長(CISO)必須瞭解信任可帶來收穫這種概念,並確實讓此觀念成為整個資安部門中心指導原則。
文/Mary K. Pratt 譯/Nica
資訊安全長 Omar Khawaja 在所屬國家級的健康與保健組織 Highmark Health 大規模轉換成遠端作業環境時,唯一考量就是:讓工作者擁有在任何地方都能完成工作的能力。
但為盡快完成此任務,Khawaja計劃放寬某些管制。他這麼解釋:「我們的存在是為了能夠營運,若我們阻止業務作他們必須做的事,就沒有意義。」
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
Khawaja的提案或許看似激進,但他很清楚資安其他層級都會提供必要保障。並且,他希望公司CXO高層同仁能和他一樣有自信。
他們是的。
他說道:「我必須告訴這些高層我們正在放寬管制,而他們的回應是『如果你已經分析過,覺得這麼做是對的,我們就支持。』」
CISO的角色一直在演變,從專注在戰術佈署的管理人員,轉變成參與營運策略及風險管理的執行層職位。
這場演進的一部份,是CISO必須讓所有利益關係人對他有信心,包括客戶、合作夥伴、員工、董事會成員與其他執行高層,相信CISO與他的資安團隊,在面臨網路安全決策時,會將企業組織的最佳利益考慮進去。
換句話說,CISO必須贏得利益關係人的信任,相信隨著各個團隊在瞬息萬變的時刻、甚至異常環境下仍執行日常業務時,CISO能夠順利且堅持保護員工、隱私權、系統與資料。
「如今一切都翻轉了。沒有人的工作維持不變,有相當多的不適應在其中。所以身為資安人的你必須建立那份信任。這是你的本份,是你份內的事。」如今在全國信用社資訊共享與分析組織 (NCU-ISAO) 擔任執行董事與 Pure IT Credit Union Services 資安負責人的資深資安高層 Gene Fredriksen 如此表示。
必要元素
CISO培養信任的能力,遠遠比一場深奧對談或商學院的實踐還要重要:專家認為,任何想在職場上有所成就的CISO,這都會是必要元素,因為信任能讓他/她實施保全企業組織所需的政策、程序與技術,繼而保障與企業互動的其他人──包括客戶,的安全。
「沒有信任,你的動機便會遭到質疑。」IT服務商 Garnet River LLC 的資訊安全長 Michael D. Weisberg 如此表示。
他認為,CISO必須被信任,這樣當「他們對危及一直以來都在尋求保障的政策、專案或想法,舉手表示存有疑慮時」才能被聽見。Weisberg認為,信任得以讓利益關係人停下來聆聽CISO的意見。
[CIO都在讀: 網路安全真相、數據與統計 ]
另一方面,CISO不能被視為「總是說不的部門」,因為多年以來已有許多CISO被這麼看,Weisberg補充說道。他們必須提出能夠讓企業組織、合作夥伴及客戶執行預期任務,又不必處於難以容忍風險之中的解決方案。
麻省理工學院斯隆分校的網路安全聯盟 (Cybersecurity at MIT Sloan, CAMS)目標是改善關鍵基礎設施,該聯盟網路安全執行董事 Keri Pearlson 進一步解釋,「人們會信任協助解決問題,並且提供正確幫助的同仁。」
贏得信任
任職於密蘇里州堪薩斯城金融機構 Mazuma Credit Union 的資訊安全長 Monica Rowe,同時也是 Women in CyberSecurity (WiCyS)會員,在目前職務上甚至整個職涯都採取這樣的處理方式。。
她表示自己努力經營整個企業各個階層的關係,同時教育CXO高層同仁相關資安議題。「你會想要多揭露一些資訊,提供適切的細節。」她如此解釋,並表示這類方式已成功協助執行層團隊瞭解營運風險方面的資安需求。
因此,她的同事們瞭解「我們大家正朝著共同利益前進」,也就是他們信任她會做出對企業整體而言的最佳決策,而不是只對資安部門有益處的決定。
[ 大師開講─台大資管曹承礎教授:企業數位化 CIO的關鍵領導力 ]
Rowe深知信任是能得到回饋的。她以自己在2019年獲得執行高層支持為例,成功強化信用合作社某些資安狀態,包括VPN功能。
「CEO核准這筆資金,由於他對我的信任,因此並未質疑我的需求。」她表示。
執行團隊信任她認為必須改進的評估報告,因而讓信用合作社得以快速擴充遠端作業的能力,因應這場大規模流行傳染病,因為升級後的VPN證實已具備處理激增工作負載的能力。
「信任,」她補充說道:「讓你能影響那些牽動整體營運的決策。」
寶貴的信任
目前情勢,正突顯CISO在員工、合作夥伴與客戶間建立信任的必要性,因為大家正經歷大規模傳染病帶來的變革,同時他們看到更多大型網路安全攻擊的相關報告,例如七月份著名的Twitter帳號事件。
別犯錯:大家都在關注。KPMG在2020年的報告《The New Imperative for Corporate Data Responsibility》中,調查了一千名美國人,發現有87%相信資料隱私是人權,而有91%的人表示公司應帶頭建立公司資料責任。
「人們體認到,他們與之進行商業活動的企業擁有有越來越多的資料作,甚至那些人們沒有直接往來的企業組織也是。也漸漸更多人瞭解到隱含其中的不只是利益,還包括風險。」Bain & Co.合夥人暨公司 Enterprise Technology 實踐創始人 Steve Berez 如此表示。「因此,廣義的CISO職責,絕大部份與信任提供給企業的資料是安全的與建立這樣的信任有關。這可能是當今CISO最重要的角色。」
[CIO都在讀: 資料治理-資料資產管理的最佳實踐框架 ]
CEO們皆對此有所體認,因為如今他們絕大多數深信建立並維持與股東間的信任,是這個數位時代成功的關鍵。PwC在其21st Global CEO Survey調查中發現,有全球CEO有87%的人為建立與客戶間的信任,投資網路安全。
「拜經濟數位化所賜,我們正體認到信任有多重要,」PwC諮詢業務負責人 Sean Joyce 如此表示,他在該公司擔任美國暨全球網路安全及隱私權業務主管。
從賣點到社會使命
Joyce認為企業保障安全與隱私權的能力,不單只是對客戶的賣點,對員工、企業夥伴及企業本身領導者而言亦然。
他以自身的線上銀行為例,該銀行佈署的資安功能,最近封鎖了一項他的異常購買行為(立式划漿戶外活動),同時傳送訊息詢問他是否要銀行核准這筆銷售行為。這類功能讓該銀行有別於市場上其他競爭者。
「這就是CISO在做的事,用這樣的方式讓品牌與眾不同,」他補充說明。
事實上,PwC的《Digital Trust Insights Pulse Survey Findings 2020》中就列出信任是CISO必須提供予企業組織的關鍵要性之一,建議CISO以「別出新裁的方式提升安全性、彈性與信任,但以稱職的網路安全預算管控者身份協助控制成本。」
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
專精科技法,任職於 SANS Institute 擔任資深講師的達拉斯律師 Benjamin Wright 認為,「隨著社會越來越要求這樣『數位信任』,CISO別無選擇只能這麼做。」
「社會通過法律與實施規則,表達出『這就是我們預期你能滿足的複雜需求,無法符合這些需求並保障這些事務的安全,就會被懲罰。』」
2020年初生效的加州消費者隱私保護法(CCPA)便是一例,但絕非唯一例。其他州才提出立法的同時,包括緬因州與內華達州等其他州亦已施行資料隱私保護法。這些都是遵循2018年生效的歐盟一般資料保護規則(GDPR)。
CISO新任務
然而,培養數位信任對許多CISO而言可能是場硬仗。
KPMG的《企業資料責任新興當務之急》(The New Imperative for Corporate Data Responsibility)調查發現,有68%的消費者不信任企業會道德地出售個人資料,而有54%的消費者不相信企業會以道德方式使用個人資料,另有53%不信任企業是在道德標準下搜集個人資料,並且有50%消費者不信任企業會保障個人資料。
由Dell與Intell及 Vanson Bourne 合作,調查超過40個國家、4,600位企業領導者的調查報告《2018 Digital Transformation Index》發現,49%的受訪者「擔心其企業組織五年內變得無法值得信賴。」
曾任CISO的諮詢顧問公司 SideChannel Security 合作夥伴暨共同創辦人 Brian Haugli 表示,專家們認為這些令人擔憂的企業組織,一直將安全性視為加速與成長的阻礙,因為這些企業不相信資安部門與企業成長方向信念一致。
值此之故,這些企業CISO總是在早期策略性討論的階段就被擋在門外,直到後期才被納入舉措之中,這時安全性更難整合。
同時,Haugli認為同樣這群CISO們可能還沒準備好接手建立信任的任務。他們不認為自己是企業經營的能者、重要顧問與策略夥伴,而是仍然把自己的角色放在技術監督與提供能立即上手的資安專案上。
專家們強調,能者CISO早己認定信任是做得到的,並落實讓信任成為整體資安部門的宗旨。
這是 Highmark Health 的資訊安全長Khawaja採取的方式。他將信任視為他與資安團隊行為的典範,於2019年初修定資安專案任務說明以便更符合公司策略願景時,明確公開聲明。
舊的任務陳述聲明資安三大營運目標:合規性、隱私權與效率。新的願景陳述則為「我們的願景是一個人們無疑信任其資訊受到保護的世界。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)