如果你以為資安不用擔心經濟衰退,先別那麼樂觀。減少浪費、提升風險管理效率的時候已經來到。
文/Deb Radcliff‧譯/葉庭筠
從 COVID-19 疫情擾亂公司運作以來,福特的資訊安全長(chief information security office,CISO)Nico Darden Ford 已很習於用更少的資源做更多事。她回憶,「那時我從印度搭機起飛,到華盛頓機場時看到大家都戴著口罩,不知道發生什麼事。等我到辦公室,公司 CEO 和 CIO 跟我說,公司要啟動隔離了,我們只剩不到一個星期的時間準備員工遠距上班。」
這是發生在她前東家的事,當時他們才從一家大公司獨立出來,準備上市,並把一切轉到雲端。而利用有限的時間和最少的資源,她搞定一切。現在 Darden Ford 是年營收 78 億美元產業自動化業者 Rockwell Automation 的 CISO 暨全球副總裁,Ford 已經做足準備面對所有企業都挫著等的全球經濟不確定性,包括 Rockwell Automation 的客戶。
網路安全好像比較不用擔心景氣惡化,但在這嚴峻時節,CISO 們也要準備好以更少做更多,Darden Ford 說。她建議,為此 CISO 必須經常評估並減少安全投資上的浪費,最大化資源,以及減緩重要企業資源的風險,同時又要支援數位轉型(將能進一步撙節成本)。「只要有數位轉型,就會伴隨安全轉型,兩者之間密不可分,」她說。
CISO 都要隨時準備好成本撙節的到來
景氣指標很多,其中世界經濟論壇(World Economic Forum,WEF)一份報告指出,62% 的經濟學家預測 2023 年全球經濟衰退,其中可能衰退者佔 45%,認為極可能者佔 19%。而國際貨幣基金會(International Monetary Fund)也預期全球 1/3 國家會陷入衰退,雖然可能只是短期。不過根據美國勞動統計局數據,即使 2022 年底和 2023 年初好幾波大裁員,美國就業市場還是很活絡。全世界其他國家,包括英國、加拿大和德國也是類似情形。但正面的就業市場新聞,也會因利率居高不下,使股市欲振乏力,而且可能造成未來企業凍結招聘。
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署?下載 CIO大調查報告 立即揭曉!]
在全球歷經了疫情、烏俄戰爭及其他天災人禍打亂了傳統經濟指標,現在要預測景氣格外困難。但是擁有英特爾 20 年資歷的產業顧問 Malcolm Harkins 說,CISO 們還是有方法預測及因應經濟衰退。例如從論壇和同業交流可以得以了解該如何做好準備。他在英特爾期間專注財務 IT,之後才轉為資安及永續部門總監。
「過去 6、7 個月我和許多同業交換心得,他們說面臨預算和人才不足問題,且新採購也被迫暫停。基本上他們就是被要求以更少錢做更多事。不過到目前為 止,CISO 還沒碰到這些挑戰,」Harkins 說。
改善安全投資的效率和效用
Harkins 表示,不管有沒有衰退,CISO 都應該要從經濟效率的角度來看待資訊安全和風險管理問題。「我是財經背景出身,因此我總是試圖以更少資源做更多事,因為我希望我的安全投資也能看到投資報酬率。因此我總是抱著評估的精神,如果無法證明效率或效用提升,我就會砍掉這部份支出,或是不會再列入新的預算中。」
Harkins 建議 CISO 以檢討業務目標包括營收、淨收入、盈餘或市佔率的同樣眼光來檢討設計目標。例如,他相信,如果安全部門積極解決影響最重大的漏洞,他們之後防範較不重大的業務影響的工作就可以省下 30% 的時間和心力。
例如 Harkins 分享了他過去在英特爾時立下了「不論是大火、淹水或網路攻擊都不會對業務永續發生實際影響」的設計目標。然後 2010 年發生 McAfee 更新導致全球 Windows XP 大當機,當時英特爾仍然能接收、處理訂單和出貨,設計師也能完成工作。雖然有些非關鍵端點長達數小時無法連網,但他說損失相對輕微。
減少重覆的安全工具
不幸的是大部份安全部門還是為基本系統盤點和評估傷透腦筋,但隨著 CISO 被要求以更少做更多,資產辨識重要性更加提升。想清楚重點在哪可協助他們減少安全工具和服務的浪費。「縱深防禦也意謂著花錢如流水,」Harkins 說。
減少安全工具重複投資是促進創新的好方法,Darden Ford 說。例如,雲端力求精簡讓 Harkins 的團隊得以減少初期投資,但能提供更多安全防護,這能推動雲端化的數位轉型。她認為,一些不是雲端原生,而是改寫後搬上雲端的平台效用就不如雲端原生工具那麼好。她也提醒最好不要簽定太長的廠商合約,以免你被綁得動彈不得。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
例如,雲端貸款結算平台 SnapDocs 的 CISO 資安長 Al Ghous 剛加入公司時,從前人手 上繼承了一份和一家大型安全平台廠商簽定的昂貴多年期合約。「在評估安全平台的效用後,我發現我們部門只用得到其中 10% 的功能,因此我們開始尋找替代方案,現在在合約到期前,已經展開前導測試,特別留意平台的覆蓋面和成本效益。」
SnapDocs 是一家雲端平台業者,因此 Ghous 團隊也想找一個雲端原生的安全工具,會更切合其商業模式的需求。他說,他們想換掉的平台並非雲端原生,而是和許多現有大型平台一樣,為雲端改寫而成。事實上,由於太多安全工具都無法滿足現今複雜的業務需求,Ghous 甚至透過 CISO 投資聯盟 CyberFuture 努力找到安全創新技術,CyberFuture 由 Elron Ventures 創立,獲得一些大企業的 CISO 支持,包括 Airbnb、加勒比海郵輪和雲端人資平台HiBob 等。
CISO 應追求 CFO 的目標
「聯盟提出的重要觀點之一是,要儘可能放大安全投資的效果,以及找出加值點在哪。就算不看現今的全球宏觀經濟局勢,CISO 仍應以使其部門和公司目標一致化,未來尋求投資才會比較容易,因為你愈能透過安全計畫支持公司目標,就愈能順水推舟,」Ghous 說。
Ghous 也建議 CISO 配合 CFO 的目標,一方面提升安全性及效率,另一方面支持風險和法規遵循要求。他補充,在一些法令嚴格控管的產業,如健康照護、金融和政府業,法規遵循會被當成合理化支出的理由,只要你是根據業務目標排定支出的優先事項。一如 Harkins,Ghous 也說,CISO 必須定期審視(至少每年一次)工具和服務的效用,並且注意長期的成本效益及減少浪費的效果。
以現有資源做更多事
AI 信用分析公司 Pagaya Technologies 的全球 CISO 副總裁 Yaniv Toledano 警告,若現有工具可以合併、自動化或協同運用,應謹防買入不必要的新工具。此時,CISO 應優先改善既有控制項,滿足現有的業務需求。
他說,「兩年前 COVID-19 期間我加入 Pagaya,當時公司飛快成長,和許多美國銀行業龍頭合作,他們強烈要求合作夥伴要能遵守最嚴格的網路安全及韌性框架,希望我們具備最成熟的安全流程,」Toledano 說。「在景氣衰退及預算緊縮時期,最好的答案是以最有效率的方法先整合和協同手中工具,之後再來談花錢購入新解決方案。」
此外,他說人員也需要整合,多半這會透過裁員達成。Toledano 說,為了在精簡時期留住最好的人才,他提供很有挑戰性的專案來激發其興趣,一個方法是把他們分配到最好的安全研究,讓他們挑選一些安全新創公司來研究未來怎麼實作在公司內,以提升工作效率及效用,達到撙節成本的目的。
「安全專家必須要不斷成長,才能對工作保持熱情。除了以手中資源做更多事,你也同時以有創意方法實現創新,」他說。「即使景氣不佳,創新的工作也絕不能割捨。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)