減輕第三方風險、開發過程內嵌資安意識、防範勒索軟體攻擊、跟上數位轉型的腳步…如今,資訊安全長(CISO)的首要考量可遠不只這些。
文/Mary K. Pratt‧譯/雲翻譯
資安議題動輒登上新聞版面,CISO因而處境艱難。約 64% 的CISO對未來表示擔憂,公司可能有重大網路安全風險;66% 認為組織未及準備,無法因應危機,上述數據擷取自資安軟體商Proofpoint 2021年《Voice of the CISO Report》的內容。
[ 敬邀參與2022年度CIO大調查活動,掌握IT脈動缺你不可 ]
[ 推薦閱讀: 找出精通資安的代管服務供應商 ]
為了應對潛在風險,CISO正在著手調整策略,以加強資安防護措施。看來他們對全新路線頗具信心:Proofpoint提及有 65% 的CISO認為公司能夠在2023年之前改善網路攻擊的因應與復原能力。
依據CISO、分析師與資安領導人的看法,目前典型的CISO策略優先考量大致上有以下15點:
1. 注重基礎
資安基礎(fundamentals)至今依然是首要考量。「在網路安全的賽場上,擔任阻截擒抱的角色聽起來一點也不吸引人,但是確實執行防守工作卻至關重要。」數位顧問公司Mobiquity的工程副總兼美國資安長 Tyrone Jeffrees 說道。
為達成效,Jeffress表示他和其他CISO主管都持續關注如何妥善無礙地執行資產管理、導入修補程式、漏洞管理與資安架構建置,同時也致力為同事提供資安警覺性的教育訓練。
Proofpoint報告中的數據支持這項觀點,加強核心資安控制正是CISO最常提及的優先考量之一。
2. 識別、減輕第三方風險
美國網路平台被駭的大新聞SolarWinds供應鏈攻擊事件導致第三方風險一躍成為CISO優先考量的第一位,Neil Daswani 如此表示。他是資深網路安全領導人,今年剛出版合著新書《Big Breaches: Cybersecurity Lessons for Everyone》(大漏洞:給所有人的網路安全課)。
[ 推薦閱讀: 基礎架構轉型 加速驅動九大IT關鍵策略 ]
Daswani表示,這椿駭客事件最早在2020年末爆出,說明CISO需要理解組織內部所有應用技術,才能建立起合宜的廠商審查流程,並規劃策略,盡量減輕風險危害。
3. 確保企業程式碼安全
同樣地,CISO也越來越關注於揪出企業內部使用的程式碼漏洞。共同創立資安公司Crucyble的資安專家 Brian Johnson 表示。
「如今有太多程式碼是共享公有的,我們看過太多程式碼造成的問題,公司使用的外部程式碼可能是惡意的開源碼。」他說,他和其他CISO都致力於審查全新部署的程式碼,也會重審已部署的程式碼,找出所有漏洞與程式臭蟲。
4. 防範勒索軟體攻擊
2021年勒索軟體全面升級,嚴重案例有殖民管道網路攻擊、跨國肉商JBS駭客攻擊,業者被迫關閉主要加工廠,影響了美國多地的日常肉品供應。
幾乎所有資安領導人都認為這些新聞已引起CISO高度警戒。
[ 下載 2020-21 CIO大調查報告,掌握企業資安部署新趨勢 ]
「這意味著,企業將持續進行資安防護措施的內部與外部檢測,包括第三方資安、合規性審核,以及全球資安領導機構的高規格審查。此外還有一大關鍵層面,是以大量資料驅動現代化資安監控,進而識別並有條理地因應資安威脅。透過現行的緊急應變模擬演習來測試各種威脅情境下的企業應變能力也非常重要。」網路公司Vonage的資訊兼資安長 Sanjay Macwan 表示。
5. 爭取高層支持
「CISO的優先考量還有一點,就是確保領導高層警覺到當前的資安威脅局面,並理解防範危機需要增進哪些投資。」Daswani說,他也是史丹佛進階資安認證計劃的共同策畫人。
專家表示,計劃促使更多CISO直接上呈報告給管理高層。事實上,科技調查顧問公司Gartner便估計,40% 的企業高層到2025年前會成立網路安全專責委員會,目前2021年僅有 10%。Gartner調查結果也顯示,現在高層評比企業風險的第二大來源就是網路安全風險,僅次於法規風險。
6. 支援轉型與策略性目標
隨著組織不斷數位化並加速轉型,公司也期望CISO能夠馬上跟進。因此,CISO認為資安是推進業務的動力來源。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
「以高層的觀點來看,優先考量是支援業務與業績目標,而且公司的營運要兼顧資安,以保護客戶、員工以及公司架構,同時還能提供優質的客戶體驗。這是至關重要的指導原則。」David Levine 說道。他是數位服務與資訊管理供應商 Ricoh USA 的企業與資安副總兼安全長。
專家表示,每間企業的CISO做法各異,但為達成任務,每年資安團隊的優先考量逐漸趨於一致。
7. 促進敏捷度
Kriss Warner 身兼調查機構 Info-Tech Research Group 的網路安全諮詢全球總監與ISACA認證的CISO,他發現大部分的CISO都會優先考量這一點:「迅速調整又可彈性應變」的能力。
CISO為了追上業務發展需求,持續自我與團隊訓練,期能達到更加敏捷的工作模式。他更補充道,「CISO面對來自高層的諸多挑戰,有天災也有人禍,像是國族主義的反政府駭客,例如惡意軟體SPACE。想要妥善因應,CISO必須更靈活。」
8. 培訓團隊新技能
資安人才角逐的競爭激烈,加上疫情影響,市場環境更加凶險。根據Gartner說法,資訊安全相關職位需求急遽飆升,美國境內需求便大漲 65%。因此,CISO優先考慮留住團隊現有人才,並訓練專用技能,以因應環境變動所需。美國密蘇里州的瑪麗維爾大學網路安全助理教授 Brian M. Gant 表示。在職技能培訓尤其著重於雲端資安、網路威脅情報,以及權限與身分認證管理。
[ 訂閱電子報 CIO Taiwan 電子報,瞭解各產業IT決策者都在看哪些文章 ]
9. 處理物聯網資安
據2020年物聯網現況報告的分析資料估計,去年物聯網連結裝置總數達120億,首次超越非物聯網的連結數量。市調機構預測,到2025年時,物聯網已連結逾300億個裝置。
「所有事物都連結在一起,這樣一來CISO就有必要做策略性思考。」Gant表示。
他認為CISO越來越關注物聯網連結裝置及其產出資料的安全性。CISO正在發展策略,以確實了解網路連結的裝置內容與數量。同時重新架構身分認證與權限管理計劃,將物聯網納入其中。
10. 透過設計方法確保資安
對Macwan(Vonage的CIO兼CISO)來說,「提前在開發階段進行安全性審查」是一項優先考量。
「簡言之,所有工作在一開始就必須內建適宜的安全性、隱私性、信賴度與合規性,不管是提供給客戶的產品或服務,還是改善員工體驗的工具與技術。」他表示。
其他CISO也回應這項看法,同樣在優先考量中納入「透過設計方法確保資安」。
「資安問題如果能在開發階段發現,就能省下巨額修正成本,所以我和許多同事都會注重這個規劃環節:將安全性意見回饋匯集給開發者、並讓開發者及早在防護之中做資安方面的決策。」科技商Copado的IT資安主管 Kyle Tobener 說。
11. 普及自動化
IT工作環境不斷擴增,攻擊活動日益猖獗。為了促進資安團隊的應對能力,許多CISO加速部署自動化技術。
事實上,Proofpoint調查顯示,CISO將「改善資安自動化」列為第4大優先考量。
Jeffress表示,CISO運用自動化來改善威脅辨識與加速因應,從開發到部署全新編碼進入工作環境的同時強化資安標準。他提到,自動化是建立資安編碼的關鍵環節,這樣才能做到透過設計方法確保資安,並且走向最近越來越流行的零信任資安模型.
12. 加強遠端工作安全性
Proofpoint的CISO調查顯示,近三分之二的人認為遠端工作讓企業組織更容易遭受網路攻擊,其中有58%表示,自從大規模導入遠端工作模式後,出現越來越多針對性攻擊。
「因為工作環境丕變,員工和公司都曝露在風險當中而不自知。」Levine說。
根據分析師、研究者與諮詢師的說法,CISO因此採取零信任與身分認證優先的資安策略,以打造安全的「隨處工作」商業模式。
13. 確保雲端安全
科技市調公司 451 Research 的《企業之聲:2021年雲端、伺服器管理服務、預算與經濟展望》調查結果顯示,近 40% 企業組織在疫情期間更常使用公有雲,絕大多數人都表明,資料搬移至公有雲會成為以後的常態。
Levine的公司也躋身這股潮流之中,他因此重新思考資安策略。他正在部署全新的工具、流程與治理模型,以支援基礎架構。他也導入了全方位的雲端資安治理計劃,讓團隊在公司的雲端環境中具備可視性,並加強適宜建置與資安標準的合規性。
14. 因應推陳出新的隱私法
2021年初,美國維吉尼亞州通過「消費者資料保護法」(CDPA),規範內容類似加州的消費者隱私法。科羅拉多州也在7月跟進,訂立「科羅拉多州隱私法」(CPA)。
法案琳琅滿目,企業組織必須設法追蹤並遵循種類日益繁多的隱私規範。
Warner表示,各種法條讓CISO必須與法務及其他企業領導階層通力合作,務使技術與流程有效快速因應法律,不僅是現行法規,也要考量未來演變。「這幾乎是CISO與企業領導人的日常對話內容:企業想要部署新方案、進入新市場,但必須要在計劃中整合嚴格的隱私資安合規性,業務才能順利進行。」
15. 應對全球局勢,打造業務連續性
Levine認為疫情也揭露出另一項資安問題:業務連續性計劃的缺失。他與其他CISO重新審視連續性及適應力策略,發現大部分內容竟未考量到全球性事件的影響。
「我們雖有規劃,卻沒想到一夕之間所有人都在家上班。」他說,並補充道,舊有計劃預設人員設備的地域分散性,可以將受影響地區的工作移至未受影響的區域代辦。「然而現在我們該重新思考了,業務連續性還有哪些可能?」
(本文授權非營利轉載,請註明出處:CIO Taiwan)