摩根史坦利財富管理與投資技術網路安全總監 Rachel Wilson,反思風險與資安領域的重大變化。
文/Michael Hill‧譯/ Nica
Rachel Wilson 傑出的資安職涯,可以從她歷經數次國安局(NSA)資深主管職位,並成為摩根史坦利財富管理與投資技術首位網路安全主管得到證明,如今她在該組織從事保障企業系統與資料安全的工作,並為領導層提供關鍵網路安全議題的相關建議。
[ 推薦閱讀: CIO都在讀什麼?【Top 10】2022-5 文章閱讀排行 ]
Wilson 是近期 CSO 英國資安高峰會(UK Security Summit)的開場主題講者,她反思風險與資安領域最大的變化,以及 CISO 必須如何因應領導團隊,並接受新興的商機。以下是該場演說的幾個要點。
一、網路能力平民化
過去兩年,風險與資安領域帶來重大變化,影響企業組織諸多層面,Wilson 表示。「這兩年真正的變化是進階網路能力的平民化(democratization )。過去,絕大多數惡意網路活動是來自國家民族 ─ 政府攻擊政府。如今改變了,我們知道網際網路上有 70% 的惡意網路活動來自金錢動機。」
[ 推薦下載: 2022年度CIO大調查報告PDF ]
網路犯罪在本質上越來越偏向機會主義,Wilson 繼續表示,由網路啟動的竊盜與詐欺,在過去 24 個月持續激增。「我們還見證網路犯罪集團的興起:傳統有組織犯罪幫派,利用網路手段組織犯罪,其操作無論在範圍、規模與速度上都令人大開眼界。這是利用曝光在 YouTube 上任何人都能學會的高度先進網路工具、諜報技術與戰術。」這種種因素,徹底改變 CISO 領域所有人的工作,她補充說明。
二、疫情加速安全項目的實施
網路安全的性質,受 COVID-19 疫情導致轉成遠端與混合性工作深深影響,Wilson 表示。「CISO 社群一直以來盡忠職守推動企業營運,但就在 2020 年 3 月中的那個早晨,我們意識到必須把所有員工送回家,眾多 CISO 迅速被召集到董事會面前,詢問要如何有效率並安全地完成這項任務。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
Wilson 認為這讓她和其他資安主管同仁更熟悉必須快速取得成果的多因子驗證(MFA)與零信任這類安全性概念。「壓力多大,這一切就有多棒。我們推動第二因子驗證或無須永久性儲存顧客 / 用戶/資產資料的想法已經很久 ─ 若我能在家進行虛擬化工作,為何不讓我在任何地方都能工作 ─ 包括辦公室?」廣泛流行的混用環境,成為許多 CISO 真正有用之物,他們已經能夠推動這項曾是遠大抱負,如今對他們的企業組織至關重要的項目。
三、採雲端優先的處理方式
如今企業營運應全力投資雲端優先的處理方式,而 CISO 目標也相同,Wilson 繼續說道,「若我們正在思考平台端到端的恢復力,為何會想被資料中心的容量與能雇用的員工所限制?雲端優先這件事,確實被這個疫情與遠端工作環境加速了。」
修補程式的節奏,是企業組織必須改變心態的另一課題,Wilson 表示。持續不斷向技術與營運領導高層解釋修補最新漏洞的重要性,一直是 CISO 頭痛的難題。「過去幾年我覺得自己就像一直喊著狼來了的女孩,但我認為整個董事會的管理階層現在聽進去了,當我說我們不能再依三十天修補程式的正規節奏,就算中午重新啟動很花錢,但總比在太多其他地方觀測到勒索軟體攻擊所耗費的成本少很多。」她補充說明。兩年前曾被認為很不錯的網路安全衛教,終於如今成為基本標準。
四、安全性為業務推動之始
有了 CISO 透過交流溝通推動資安 ─ 業務凝聚力,網路安全部門已漸漸成為業務推動者,Wilson 如此表示。「我們終於能夠更早也更常在決策層取得一席之地,資安同仁在更早期的階段進入並建構用戶故事【譯註:user stories,捕捉用戶需求的技術】,進而探討如何建立妥善的安全性,同時啟動優異的業務功能。」
另一項體認是,安全性需要廣泛眾多員工的深度參與,Wilson 補充說明。「過去,我花許多時間在基礎架構及應用開發團隊上,但現在我必須花時間給每一個人。每一位終端使用者,不但是我最大的風險要點,也是我的第一道防線。」
將「看到什麼就要說」(see something, say something)的文化,深化到每個人的思維與工作職責裡,會帶來很大的不同,CISO 還必須平衡安全性訊息接受員工的社會化意識,Wilson 表示。這正是何以現代 CISO 的首要能力是有效傳遞網路安全,也是資安領導者必須具備的能力,她繼續解釋。「CISO 必須說得比我們許多人想要的還多很多。或許這不是我們的本質或成長方式,卻是現在正在做的這件事的關鍵。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)