人們對於網路安全領導者關鍵商業價值的認知正在發生轉變。現在是 CISO 資安長表現自己的大好時機。
文/Christopher Burgess‧譯/酷魯
就資安長這個職位的本質而言,其是否應該被視為企業高階主管團隊(C-suite)的一員,關於這一問題的爭論已經持續了一段時間,而且似乎還會持續很長一段時間。筆者認為,資安長不僅應該在高層中佔有一席之地,而且應該被認為是任何企業成功的基本因素。
我和我的許多同行觀點一致地經常這麼認為,如果責任和問責制明確,而且高層管理人員參與並提供支援的話,那麼資安長在企業中處於什麼位置並不重要。但這樣的想法卻是一種罕見的情況 — 如果你願意這麼認為的話,那無異也是資安長夢想中的涅槃,因為許多資安長覺得自己不被高階主管或董事會重視。
在美國,顯然正進行一場變革,人們正開始逐漸認識到網路安全領導者的關鍵商業價值 — 美國證券交易委員會(Securities and Exchange Commission,SEC)已經加大了對網路安全的支援力度,認為網路安全是企業最關心的問題,並表示資安長應該被視為企業決策團隊不可或缺的一份子。那麼,資安長如何透過與他們的同級高階主管之間的聯繫與互動而獲得認可呢?
資安長應該敢於向權力說真話
我們都聽過「向權力說真話」(speak truth to power)這句格言,但很少有人會說,資安長的角色需要有勇氣說真話,不管真相有多醜陋。通常情況下,你的高層同事最終似乎接受了「突出來的釘子會被敲平」這句日本古諺,這是一個現實。然而,我相信,當同事之間存在熟悉和信任時,錘子就會留在工具箱裡,而且分享真相被認為是最重要的。
非侵入式設備資安管理平台商 Armis 執行長 Curtis Simpson 表示,說真話的部分原因是,需要讓高層同僚們為網路安全事件的「何時」而不是「如果」做好準備。他「將事件控制在破壞性最小範圍內」的工作哲學與態度非常有價值。「所謂重大事件是指具有大規模破壞性並導致資訊安全團隊內部動盪不安的事件。」他表示:「重要的是,共同執行高層同僚們要瞭解行動指南,討論桌上模擬演練的結果、確定差距並制定緩解計畫。關鍵在於透明度。」
將網路安全定位為企業的戰略要素
網路安全風險投資公司 Ballistic Ventures 合夥人Jake Seid 表示,美國證券交易委員會推動凡董事會需設立一名專注於網路安全的個人董事,是極具價值的做法,其背後的合理依據是建立在真實狀況的基礎之上。「很少有董事會有能力應對資安長的日常挑戰,」Seid 表示。「雖然假設資安長並非孤立無援,而是企業不可或缺的一部分,可能有點不符合現實狀況,但它應該這樣才對。它們是企業成功的戰略要素。對於那些與政府有業務往來的公司來說,資安長的角色可能會決定業務成果,有鑑於所需的認證和證明,」這是不應被孤立的明確理由根據。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
自動化滲透測試技術供應商 Horizon3 執行長 Snehai Antani 提到,資安長如何與高層同僚溝通也同樣重要。他的建議是:「資安長需要從討論技術轉向關注結果,更多地關注業務永續性、乃至風險和風險緩解」所有這些都是對業務成功具有戰略意義的主題。
團隊建立度假會議可以幫助提升資安長的名聲形象
度假會議有助於提升資安長的形象 — 這裡指的不是「遠離緊張衝突」式的度假會議,而是參與式的度假會議。以團隊建立(Team Building)為核心的完整產業已建立起來,很少有人會說,一群擁有共同經歷的人不會更好地瞭解彼此。
根據 Simpson 的說法,這是一個建立彼此信任的機會,他在主管度假會議中展現了自己的積極正面的體驗,在會議中他們會進行「邁爾斯布里斯性格分類指標」(Myers Briggs Type Indicator)測驗,並幫助解釋如何相互溝通。這是一項巨大的資產。與高階主管同事們面對面交流是無可取代的,它不僅建立了熟悉感,還建立了信任感。資安長不僅應該積極爭取受邀參加這類活動,還應該鼓勵任何擴大其網路安全宣傳範疇及管道的機會。
資安長需要不斷重申他們對公司的價值
同樣,資料優先安全防護商 Forcepoint 執行長 Manny Rivelo 指出:「資安長們必須展現自己的價值,因為他們的團隊能為公司各部門提高生產力,增加投資報酬率,並確保更高水準的合規性。」
資安長肩負著巨大的責任,因此,應該對他們所承擔的責任負起全責。也就是說,它們也必須有充足的資源。Seid 指出,資安長們「需要遵守與公司 CFO 財務長相同的標準,並應以類似的方式與高階主管主管們協作與溝通。」
根據最近的經驗顯示,問題關鍵在於,資安長如果覺得自己不被認可、不受重視,或者感到壓力大、快要精疲力竭,就不會留下來。對他們來說,就像美國鄉村音樂傳奇歌手肯尼·羅傑斯(Kenny Rogers)在《The Gambler》歌曲裡唱的一段歌詞:「你得知道什麼時候該堅持,什麼時候該放棄。」但這對公司沒有好處,對整體業務也不利 — 這也是董事會在不願讓資安長進入管理層時所應該考慮到的地方。
把資安長拒之門外,最終會讓公司變得脆弱
現實世界裡,隨著個人轉向下一個機會或挑戰時,反應出每個角色都有一個開始日期和結束日期。根據 Simpson 的說法,資安長應該足夠精明,「知道什麼時候該離開」,尤其是「當企業開始相互指責、推委責任的時候」。
公司董事會應該注意到這一點:冷落資安長,然後不得不在一個當前極度惡劣和艱困的招聘環境中開始尋找新的資安長,這對任何人來說都不符合最佳利益。更不用說,在漏洞和事件不斷增加的情況下,如果沒有人主導網路安全,公司就會陷入危險的境地。當資安長在高層會議桌上佔有一席之地時,每個人都是贏家。
(本文授權非營利轉載,請註明出處:CIO Taiwan)