資安事件爆發後這段期間,通常會指派新 CISO 接手,帶領大家度過這場混亂。本文將介紹專家們認為這些危機 CISO 必備技能與性格,以及他們該如何為這種情況的到來做好準備。
文/Mary K. Pratt‧譯/Nica
在 Stephanie Benoit-Kurtz 的職涯當中,幾乎大部份時間都是接手這種以危機清除為重的工作。
「我在企業組織缺乏它們所須的一切時被帶進來,它們需要某個人來解決這一切。」她表示。這些內容指的就是評估網路安全能力、精準指出問題並縮減認知差距。用她的話來說,這份工作讓她成為「收入很不錯的守門員」。
Benoit-Kurtz 與像她這樣的其他資安專家,有很多機會處理備受矚目的外洩與駭客事件,向 CEO 與董事會爭取雇用新的領導高層,願高層的輪替能在災難發生後期帶領企業組織獲得更好的進展。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
以 SolarWinds 為例,該企業於2021年初即雇用前任 CISA 局長 Chris Krebs,與前任 Facebook CSO Alex Stamos 擔任顧問,時間點就在發現俄羅斯駭客感染公司軟體,並以此做為啟動其他攻擊的路徑後不久。
Twitter 於2020年九月雇用 Rinki Sethi 為新任 CISO,時間點也是在這個社交網路站台七月遭受知名外洩事件攻擊之後。
不久前,就在2017年,Equifax 也採取類似做法,任命 IT 副總裁 Russ Ayers 擔任雇用資深 CISO Jamil Farshchi 前,過渡時期的 CISO。
這些人全屬於利基型 CISO:接受這類危機引發的困境所帶來的艱難挑戰。
引領度過危機
「危機 CISO-曾有相同經歷、做過相同的事,是高需求人才。」人才招聘公司 LaSalle Network 技術服務主管 Paul Wallenberg 如此表示。
Wallenberg 與其他專家們認為,企業經營者在重大事件後這段時間,通常會想要有個新的資安領導者,他們深信企業組織將因新任命者帶來的特定技能而獲益,並為企業帶來新觀點。
多數情況下,這些經營者是對的:他們得確因為有新資安主管而獲益。
「從企業組織的過往就能發現,當它們身陷意外事件或重大監管措施後便有了新的 CISO,有些甚至進行了徹頭徹尾的改變,」資深資安主管暨<>合著者 Neil Daswani 表示。
Daswani 與其他專家們並未忽視現任 CISO 的存在,指出他們也能在危機中展現價值。事實上,在資安外洩被認為是時間問題,而非假設性議題的前提下,諮詢管理顧問認為所有 CISO 都應該發展引領大家度過危機的技能與性格,確保:一、他們的企業能成功通過外洩事件後期的挑戰;二、本身職涯能安然度過危機。
「事件發生後進行盡職調查是有必要的,如此才能確認是否有缺口與應該反映的問題;每個人都應對他們當時受雇的職務負責。」Deloitte Risk & Financial Advisory 的 US Cyber and Strategic Risk 主管 Deborah Golden 表示。「但『是否安插新 CISO』不見得總是容易判斷的決定。重點在於 CISO 與其他高層能多快做出應對。」
重創之後
Wallenberg 表示,遭遇外洩事件的上市公司多半傾向於雇用新 CISO,它們通常會尋求有處理危機經驗的資安領導者。
他補充說道:「無論如何這些公司都在改頭換面。不管這是否算安慰劑效應,都是減緩未來憂慮的方式。」
政府機構同樣也有過類似做法,在危機期間解職主要 CISO、任命新 CISO 接手,至少有部份原因是『總得怪罪某人。』Wallenberg 表示。
業界知情人士指出,私人企業多半也會在類似時機尋求新的 CISO,只是他們經常都是稍稍替換,避免引起對任何安全性疑慮的更多注意。
Daswani 與其他專家們表示,CEO 有正當理由要求雇用新的 CISO 處理危機。
一開始,新 CISO 通常是具備必要技能才被賦與這項職務-無論是深度業界知識,足以控制住風險的能力,還是有處理新零信任資安協定的經驗,亦即現任 CISO 某種程度上缺乏而導致此次意外事件的那些。
「你可能需要一位能看到現任所看不到,或協助領導層瞭解先前無法理解內容的人。」Stanford Advanced Security Program 專案共同指導人暨 Lifelock 前任 CISO Daswani 如此表示,他之後任職於 Symantec 消費者業務部門。
他解釋道,舉例來說,新任 CISO 可能更有能力找出缺口,並說服管理高層進行投資,確實關閉這些缺口。
此外,危機 CISO 可以對資安部門與企業整體上下提出警告,釋放出領導層級對做出改革與改善這件事相當重視的訊息,協助事件後期的處理,Wallenberg 表示。
「危機事件發生時,調整的不是只有 CISO,還包括整個資安部門與整體企業。」他解釋道。「公司企業必須進行大規模變遷。」
對於現任…
憑心而論,危機期間雇用的 CISO 在推動他/她的各項事務時已有優勢。首先,新任 CISO 無須說服其他人必須格外留意資安議題,因為已經發生的事就是證據。再者,其餘領導高層也會熱切表現出對資安舉措的承諾。
「新資安領導者到來時,我想所有人都會想保持開放心態,願意再開始試著聆聽。」Daswani 表示。
儘管危機 CISO 能讓情況好轉,但 Daswani 仍認為不是所有事件後期的情況都需要這種領導者。
Daswani 認為執行長與企業其他高層人員,在決定是否保留或開除現任 CISO 時,必須考量事件性質與嚴重性、事件發生過程以及發生源由的早期指標,以及現任 CISO 能力。
「一間公司遭受勒索軟體攻擊,這可能表示它們需要更好的防惡意軟體套件與更完善的備份策略,用直接方式處理可能才是事件最佳處理方式,並不需要換掉領導者,」Daswani 表示。「讓資安領導者留在適當位置,讓他們朝逐季降低風險的方向努力,可能比較好。」
反之,遭受國家型駭客持續攻擊的企業組織,可能就需要更有經驗的 CISO 而不是現任這位。
「那是全然不同的事件、全然不同的威脅。」Daswani 說道。
同樣重要的是,資安領導者們認為,現任 CISO 會在危機中展現自我價值。
假設他們合格,他們會懂技術、營運流程與產業,以及自身企業組織特有的威脅與風險。
考量到上述因素,現任 CISO 更有可能,比為了特定任務找來的 CISO 還快找出資安事件發生的源頭。
需要危機處理迷
不過,業界領導者也認為,在大家聚焦在企業且緊張情勢高漲的當下,並非所有 CISO 都具備帶領大家走過重大意外事件後期處理的全方位經營、領導與資安技能。
「我們要的不是只會抱怨房子失火的人,那毫無幫助。」
Daswani 的職涯中有過接受事件後期處理 CISO 職務的經驗,他認為這份工作需要的是一個負責而又對這些攻擊所造成影響表現共鳴的人。
他也認為,企業組織能從先前就有處理資安事件經驗的人身上獲益。
Benoit-Kurtz 表示,她也從經驗中學到做為成功的危機 CISO 必須有哪些個人特質。
承受混亂的能力,她深信這種性格通常多數 CISO 都有。「處於資安界,你其實就是危機處理迷(chaos junkie),因為每一天都有意料之外的新事物。」Benoit-Kurtz 說道,她如今擔任 Station Casinos 資安主管與 University of Phoenix 資安專案系主任。
他們必須有能力制定健全的前瞻性資安策略、向大家清楚表達這些內容,接著有必要時得大力提倡。「企業組織需要某人願意挑戰其他執行高層,因為不是把問題貼上 OK 繃它就能解決。」她表示。
同時,危機 CISO 必須在混亂中保持平靜,並具備能用各種溝通方式,引發他人適切關注的能力,他們應該知曉如何談論資安不致引起恐慌,而又能留下必須補救的印象。
「你得擁有巧妙溝通能力,讓神經質冷靜下來,平靜度過危機。你還必須有點政客。你必須能夠操控許多持股人彼此之間的關係。」Wallenberg 指出,這些 CISO 的工作常與監管單位及律師關係密切,因此能夠處理常伴隨網路攻擊而來的政府調查與法律訴訟。
此外,這類 CISO 還必須擁有技術能力、資安專業,並深諳企業文化。
「這份工作帶有敵意而且艱苦,因為你正在告訴廠商與企業組織,它們的環境不好,所以你要的是一個不屈不撓,但又能建立共識的人。」Benoit-Kurtz 補充說道。
這些 CISO 必須熟於快速評估員工技術,用必備技能、全力以赴的承諾與勇於表達的意願,將他們集結在一起。「你需要會挑戰傳統處理方式的人。因此,CISO 需要會挑戰他們的團隊成員,而 CISO 也必須有能力足以處理這些。」Benoit-Kurtz 如此表示。
成長契機
經歷過危機管理並願意接受這種任務的 CISO,是成長中的專業。
不過,有鑒於網路攻擊發生的次數,未來幾年每位 CISO 都會有這樣的成長契機。專家們認為,許多 CISO 在他們的職涯中某個時間點會發現本身正著手處理重大意外事件,有些會處理超過一個以上的大事件,即便未曾需求這樣的職缺。
Golden 有信心他們將應付自如。
「我認為絕大多數資安領導者都適合處理這樣的危機。」她表示。「只是必須鍛練這樣的能力,你得訓練他們。」
她認為 CISO 應為此類事件做好準備,提升已預計發展為常規職責一部份的事件反應規劃裡所需技能。
「意思就是理解在危機中會有什麼壓力,並知道如何掌控它們,」Golden 補充說明,並特別指出演習對磨練危機管理技術來說尤其有效。
Daswani 同意這點,認為 CISO 應鑽研外洩事件與駭客破壞的歷史,以及導致事件發生的源頭,這麼一來可以將得到的知識併入資安規劃裡,降低事件發生的可能性與成功攻擊帶來的嚴重性,提高快速、全面恢復的機會。
(本文授權非營利轉載,請註明出處:CIO Taiwan)