有效能的資安長們必須清晰地說明企業中的風險與減緩的策略。那些策略必須明確、精準,而且最重要的,必須敢於向有權力者說真話。
文/Christopher Burgess‧譯/高忠義
在過去 18 個月,資安長(CISO)的角色經歷了徹底的變化。根本上,資安長是負責保護事業資訊的人。
美國證券交易委員會(SEC)發佈了一份改變公開上市公司網路安全風險控管、策略、治理與事故因應揭露的草案,要求股票公開交易的公司必須提供證據證明董事會確實監督網路安全風險。與此同時,優步的前任安全長被認定構成「妨礙聯邦貿易委員會程序」罪,而且顯然那位安全長就是負責掌舵的人而應該有能力控制在事業在各種政治環境下如何應對。以此來看,資安長需要有些政治資本。
資安長不應該因為企業政治情勢而膽怯
雖然有人認為資安長不需進入領導階層,但之前已分享過一些相反的觀點來證明確實有此必要。「如果沒有政治,生活或許會更好過,但政治就是存在,」Rapid7 的安全長 Jaya Baloo 如此表示。她相信資安長不應該因為企業的政治情勢而膽怯,而應該「讓人刮目相看,並努力瞭解」。她提到,在需要快速反應的時候,政治操作反而是最沒效果的。
[ 推薦閱讀:【專訪】美律實業資訊長暨資安長梁坤棠 ]
她承認,她身為安全長也進入了公司的董事會與審計委員會。也就是說要能夠在那些地方爭取資源,包括從那些掌握財庫的人獲得資金,必須用說出讓人聽得懂的話,而且說出清楚「可見的價值」。為了達到那樣的目的,她分享她的「潛在安全事故損害量化評估法」(Potential Harm of Security Incident Calculator),在這項方法中她透過文件化並量化預防事故的價值。Baloo 表示,她一貫地使用這項評估法:「每次我們的安全營運中心阻止了某個事故,需要有人花兩秒鐘的時間用那個評估法替這個成就算出金錢價值。」
評估法評估六種數值:
- 此種事故發生的可能性。
- 對聲譽的影響。
- 對服務的影響。
- 對隱私的影響。
- 事故損害的直接成本。
- 事故的嚴重性。
小心別落入「我需要向執行長報告」的直覺
安全主管在公司內的位階高低,或者向誰報告「基本上是不重要的,因為每個組織對事情的看法不一,」Talons Ventures 的總經理,也是思科前任安全長兼信任長 Stewart 警告人們小心「我需要向執行長報告」的直覺。「那表示無論就事業、文化,或個人來看,都是沒有效率的。」依照 Stewart 的說法,更有效率的做法是「我需要找執行長,爭取他的支持,並且讓他清楚我的職責與權限,而且有相應的行動加以支持。」這與在英特爾與其他機構擔任過資安長的 Malcolm Harkins 的想法若合符節,他表示,資安長向哪個人報告「並不重要」。「資安長必須負責減緩風險,並為此項工作的成敗擔責,」他這麼說。「開口要求在董事會中有個位子並不是辦事的方法,靠自己的能力獲得,而不是開口要求。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
Harkins 提到,許多資安長並未將風險看做自己的責任,而那樣的思考方式沒有生產力。「事業可能需要自己做風險的決策,但整個公司都應面對在個別事業決策中保護公司,並減緩已識別的風險的挑戰。那是動態而非靜態的。」
資安長的誠信最重要
無可迴避的,資安長必須承受壓力,就像 Harkins 在 2022 年的一篇文章〈誠信很重要〉中,他特別提出網路安全人員正因為壓力而考慮退出行業。此外,他也在同一篇文章中提到他做過一份調查,結果顯示 76% 的科技主管回應表示他們「感受到某程度的壓力,無論是自己給的,或者別人給的,而必須低報安全風險的真實情況。」
Harkins 一針見血地指出,誠信確實重要,而且在他的短文中結論表示:「只要我們瞭解它、對應它,並且負責地加以妥善管理,就能消除最重大的網路風險」。
隨著我們共同面對的驚濤駭浪,資安長們必須做好準備開始討論並闡明事業的風險與減緩策略。他們不應藉著自己團隊工作的複雜性而試圖讓別人看不清楚真相,他們必須清晰準確,而且最重要的,要向有權的人說實話。
(本文授權非營利轉載,請註明出處:CIO Taiwan)