【專訪】菲律賓網路安全專業人員協會的主席和創始會長 Angel Redoble
菲律賓網路安全專業人員協會主席兼創始會長 Angel Redoble 參與 Xiou Ann Lim 的訪談。重點圍繞在為什麼企業需要一個專職的 CISO,以及 CIO 是否應該轉而向 CISO 報告等等。
文/ CSO Online‧譯/ Christy
本文為 CSO Online 與東南亞和香港的網路安全高層們一起討論技術領導以及網路安全行業的最新趨勢。由 CSO ASEAN 的編輯 Xiou Ann Lim 進行發問,受訪者是來自菲律賓的 Angel Redoble,他是菲律賓網路安全專業人員協會的主席和創始會長。討論內容將深入探討 CISO 這個角色,尤其是在東南亞。
CSO 問:有關 CISO 的角色,或許我們可以先陳述一下網路安全及 CISO 的背景的相關資料。與其他國家或地區相比,在菲律賓或東南亞,網路安全方面的市場「就業率」有多少?意思是,公司是否雇用了專職的網路安全團隊,並且在團隊裡指派了一名 CISO?大部分的學生或畢業生是否意識到這是一項具有前景的職業生涯選項?還是公司裏大多數的員工仍然認為網路安全只是 IT 部門所負責的?
Angel 答:就成熟度而言,這不是一題單選題。如果你只是單單從企業方面考慮,我會說 CISO 的工作重要性並沒有增加很多。因為我們仍然沒有看到 CISO 向 CEO 以及董事會匯報的增長趨勢。我們有很多 CISO 仍然向他們的 CIO 或 CTO 匯報工作。所以在企業方面,我想說的是,我們還沒有達到企業認可的那部分。並不是 CISO 本身這個角色不夠重要,而是 CISO 作為管理團隊不可分割的一部分重要性還不夠成熟。
但我認為這不只是公司或企業的問題,CISO 也不一定有足夠的能力善用董事會管理階層能夠理解的語言,因此無法直接向 CEO 和董事會匯報並且討論網路安全。我們還發現 CISO 仍然過於技術化,這大概也是原因之一。
如果我是做技術的,我寧願向 CIO 匯報,也不願向 CEO 匯報。因為當被問及商業策略時,我會不知道該說些什麼。但在技術方面,很多公司已經認知到 CISO 在網路安全技術方面的作用,因為越來越多的 CISO 職位已經被企業認可並且設置。我們還看到越來越多的公司將更多預算或資金運用於網路安全方面。
所以從技術層面來說,我覺得我們已經處於高度成熟的水準。我們看到越來越多的專業人員在網路安全工作技術層面的進展,因此人們就從這點判斷這些企業的網路安全環境是否成熟。
然而,現今當我們在評論一家企業網路安全成熟度時,我們並不僅僅只是在技術層面上探討,還得從經營策略方面深入剖析。例如,CISO 是否向董事會報告並直接向總裁和 CEO 報告。
[ 推薦閱讀:分析長、資料長、數位長有何區別 ]
我之前有提到過,CISO 必須有一個和公司看法一致的策略。這個策略需要與公司的願景和使命保持一致。因此,CISO 必須有能力可以闡明網路安全在生態系統裏以及在整個企業裏的重要性。例如,如果一家企業沒有網路安全規劃,什麼樣的結果將會發生。
如果你只是討論駭客問題和惡意軟體,那麼這些僅僅只是技術層面上的問題。但是,如果你討論網路安全會為企業帶來什麼樣的策略層面影響,例如,公司財務風險、公司名譽風險、法律合規性、和業務運營等等。等你探討到這些部分後,你就可以規劃出一個非常穩固的經營策略,進而支持整個業務計畫。
CSO 問:為什麼企業要聘請 CISO?CIO 或 CTO 可以兼任 CISO 的職責嗎?
Angel 答:我想我們已經察覺到 CISO 的角色到目前還是不夠完備。我們幾年前才開始設置 CISO 這個職位。創立 CISO 這個職位並不是因為我們需要有人來擔任這個角色,而是環境需求的推動迫使我們創立 CISO 這個職位。
所以回到你的問題,為什麼公司要聘請 CISO?如果你是總裁或 CEO,你覺得公司現今沒有聘請 CISO 的需要,那麼就不要聘請 CISO 直到你改變你的決定。就像我們之前看到的大多數跨國公司一樣,他們並沒有 CISO,他們的 CIO 或 CTO 負責網路安全,但最後他們還是決定聘請 CISO。
還有些例子是,基於國家和地區的法規或法律,有些企業必須僱用 CISO。因此,如果你是一家受法律嚴格監控的公司,你可能就需要聘請一位 CISO。
在企業裡,有兩種類型的網路安全。如果你的公司是從事網路安全業務,那麼你的網路安全就是你公司的直接營收來源;如果你不從事網路安全業務,那麼你的網路安全並不會為你的營收做出直接貢獻。但是,你的網路安全可以保護你的營收來源,網路安全可以維護你的營收成長持續性。因為如果沒有網路安全,當你受到威脅時,企業營收成長一定會受到影響,進而對公司造成傷害。
因此為什麼要聘請 CISO 呢?最簡單的答案是讓 CISO 來承擔這些責任,從網路安全的角度來幫助你確保公司的未來。讓 CISO 來確保你每日的營收、每月的營收、每年的營收或是營收的持續性。
CSO 問:你剛剛提到因為公司內部制度的差異,CISO 向主管匯報層級會有所不同。我見到過一些 CISO 向 CRO 或 CEO 匯報的例子。但更常見的例子是,他們向 CIO 或 CTO 匯報。一些評論者認為,CIO 和 CISO 存在著利益衝突。例如,CIO 可能會優先考量如何高效率的完成任務,而 CISO 可能會比較傾向使用謹慎的方法。這個評論引起一個稍有爭議的問題。CIO 是否應該改向 CISO 匯報?
Angel 答:這是一個非常具有爭議的問題。但我認為每個個案有不同的處理方法。就我的例子來說,我的事業不是從網路安全開始的,我是從 IT、網路和資料庫開始的。我那時是一人軍隊。在我事業有所進展時,我也開始了網路安全研發,也開始了 ICT 方面的工作。所以我了解 ICT 整個大環境。或許我沒有足夠的技能,尤其是對新技術而言。但若是從 ICT 的商業遠景來看,我有絕對的洞察力。可是並不是所有的 CISO 都有這樣的背景和經驗。
因此,如果你的 CIO 向不了解 ICT 經營策略的 CISO 匯報工作,這就像你有一個 CISO 向一個不了解網路安全的 CIO 匯報工作一樣。你終究會遇到同樣的問題或麻煩。
現在,如果你的 CISO 在 ICT 和網路安全方面擁有深厚的背景經驗,那麼你可以讓 CIO 向 CISO 匯報,這樣就不會有問題。CISO 可以理解 CIO 的觀點,不會因為 CIO 想做某事而有衝突的產生。因為 CISO 理解 CIO 的策略想法,所以衝突不會產生。因此,正如我前面解釋的那樣,主要問題並不在於 CIO 是否應向 CISO 匯報。
還有一個問題需要以更廣泛的方式回答,就是 CISO 是否應向 CIO 匯報。這個答案必須是根據所有的資料、經驗和背景去決定的。但最佳實踐方法是 – 讓 CIO 和 CISO 攜手合作。這是最好的做法。我認為我們還不夠成熟,我們還無法讓 CIO 向 CISO 匯報。但是我也相信我們已經足夠成熟,可以將 CISO 獨立出 CIO 的範圍之外。
CSO 問:我們知道網路安全的防護技術一直持續進步;同樣地,企業也可以藉由 CISO 這樣的角色持續提供進一步的保障嗎?在你看來,CISO 這個角色的存在是否真的可以經得起考驗?
Angel 答:如果以我自己的經驗來看,CISO 在一個企業中的停留時間不應該超過5年。
尤其是如果 CISO 在權限和預算方面得到最高管理階層董事會的全力支持,CISO 肯定可以在三到五年內實施和改進企業的網路安全。但在那之後,如果該企業在新的實施和專案方面沒有那麼積極,那麼 CISO 自然就無法再做出任何貢獻,尤其是公司營運一切已經正常化時。
從另一個角度來看,CISO 所提供的服務必須看企業如何去運用。就像公司聘請一位顧問。當你聘請一位顧問但沒有實際授權這位顧問去實施變革。那麼這位顧問僅僅能做的就只是告訴你怎麼做,而你則選擇要不要執行顧問所提議的變革。同樣的,如果 CISO 只能建議或告知你該做什麼,處於無權執行的狀況下,那麼公司的改革是不會有實質進展的。因此,如果我們要將 CISO 的功能徹底發揮,我們就必須對其職責進行更確切地定義。
[ 2022年度CIO大調查報告下載 ]
而在 CISO 必須擁有決策事務的權力時。你也必須考量外包的 CISO 情況,他們同樣應該被視為企業的一部分,而不僅僅只是被視為顧問。因為 CISO 必須擁有權力才能實施變革。我們談論的是整個層面的網路安全,例如安全事件應變、工程部署,以及周邊或內部安全營運等等。我們希望獲得所有網路安全層面相關事宜的授權,因此 CISO 必須擁有執行政策和程序的權力。
CISO 不應該只是簡單的被視為顧問。如果 CISO 只是顧問,那麼所有的變革就不會發生。如果企業已經有這樣的觀念,那麼我相信 CISO 是經得住考驗的。
CSO 問:根據你的觀察,駭客在創造力、奉獻精神和創新方面的表現,似乎已經遠遠超越網路安全專業人士所擁有的。這是怎麼回事你是否可以幫我們說明一下嗎?
Angel 答:我相信這是非常明顯的。壞人比好人更世故更精明,是有很多原因的。
第一,好人有很多的事情要擔心,但壞人只需要專注他的目標。好人每天只需工作八個小時、每週工作五天即可獲得報酬。因此,如果你的企業沒有足夠的資金支持每週七天和每天二十四個小時的營運,那麼可能有十六個小時沒有人查看你的網路。
第二,即使你購得網路安全技術,你可能仍然無法在你的網路中使用該技術。因為你無法在營運生產中的資產進行技術測試。但壞人沒有這個問題。
第三,我們是從事防禦性網路安全業務。然而進行防禦性網路安全是一項非常廣泛的舉措。這不僅僅是檢測和預防。你還需要能夠在攻擊發生之前就能預測到威脅。而且儘管一切都失敗,你還是需要能夠做出反應。因此,為了讓你能夠即時做出反應,你需要對網路中所發生的事情有百分之百的可視性。否則,如果資產中發生了你無法看到的事情,那麼你將無法做出即時反應。如果你的網路安全團隊成員只有兩個、三個或是五個,我不認為這團隊可以分配工作,然後和像 Nemesis 這種勒索軟體相抗衡。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
如果是比較技術層面,那麼這種比較是不正確的,因為我們不是攻擊者,我們是捍衛者。所以我們應該用我們的方法保護我們的網路。為了讓我們能夠做到這一點,我們需要了解敵人。我們需要了解我們的任務將如何完成。不一定需要去透過實際執行任務的經驗,也就是學習。
學習需要有紀律的閱讀。你必須是一個博覽群書的人,你必須是一個每日閱讀且有紀律的學習者。因為如果你一天不閱讀,明日的你就會被被淘汰。在網路安全領域裏,我們永遠不會成為專家。我們永遠只是學生,所以我們需要每天閱讀。這就是為什麼直到今日我還在學習。如果我停止閱讀,我將停止學習。當我停止學習時,我的敵人就會變得比我更強更好。
CSO 問:如何讓網路安全專業人士將網路安全視為不僅僅只是一項職業?
Angel 答:我認為心態非常重要。這就是為什麼我喜歡栽培新鮮人的原因,因為那是樹立心態的最佳時機。讓他們了解網路安全的全部意義。當然你無法百分之百的改變他們的思維模式,但是至少改變百分之五或百分之十。因此,在他們開始訓練之前,甚至在他們開始掌握技能之前,樹立心態非常重要。
在樹立心態的過程中,你至少已經能夠確定哪些可能無法在網路安全這行業中生存,哪些可以。我總是以一個人的生活模式或是家庭模式去評斷這個人的好壞。我根據你如何處理生活上的困境進而生存下評論。至少你的心態很堅強,EQ 方面是非常重要的。如果你有求生意志,如果你下定決心讓你的生活和家庭變得更好。這些細微的事情可以幫我決定你是否是個合格的求職者,因為可以看出你是否可以在這個行業生存。一年?兩年?還是三十年?所以心態很重要。這就是為什麼我們向這行業的求職者解釋,這份工作不僅僅只是每天八小時的工作。你不是只是在做一份工作。你正在做的事情必須全部依賴於你過往的經驗。
如果求職者注意到你只是為了讓他們感覺良好而故意說這些話,那也不是一件好事。所有的事情必須以經驗為根基。你必須能夠陳述你的經驗故事。我對我的朋友說,這些年輕的求職者若有很好的故事可以陳述是一件很棒的事,因為這些故事可以激勵人心。如果你從事網路安全工作,並且有很好的故事經驗可以告訴別人,那麼你就可以激勵更多在網路安全工作的員工。如果我們能做到這一點,那麼我們就可以擴展我們的網路安全專業團隊。
CSO 問:再來希望看到與網路安全或 CISO 角色相關的哪些變化?
Angel 答:我們需要改變觀點。CISO 的角色遠遠比目前人們所認為的更為重要。並將視角從工作層面轉為高層管理團隊,再到高級管理團隊,再到最低級別的員工。對 CISO 觀點的改變將是對網路安全觀點的改變。而思維模式的改變將會影響對網路安全文化的改變。多年以來,我們一直在努力建立這種網路安全文化。很少有人成功。為什麼?因為沒有改變觀點,沒有改變心態,因此文化沒有改變。
(本文授權非營利轉載,請註明出處:CIO Taiwan)