安全管理觀念正確的心態

資安長準備好迎戰網路威脅了嗎？從基本做起，聚焦關鍵風險，才能在瞬息萬變中屹立不搖。

文／屠震博士

擁有超過 30 年資歷的產業資安專家屠震博士分享 6 項安全管理心態，提供給資安長在瞬息萬變的網路威脅環境中做好資安治理！

心態 1、永續性

沒有任何國家或企業能免於網路攻擊。應對安全問題是日常必須，需要持續警惕和準備以減少風險。必須實施可持續的控制。

心態 2、做對基本工作

根據美國眾議院對 Equifax 違規事件報告（超過 1.4 億的個資外洩），掌握基本網路安全實踐可以防止重大的安全事件。此外，廣泛報導超過 99% 的雲端網路安全事件都是由於配置錯誤造成的。

[ 推薦閱讀：AI 時代 網路安全角色的演變與招募重點 ]

心態 3、建立有意義的安全關鍵績效指標

在安全方面，沒有單一的解決辦法，因此組織建立防禦層，有時稱為深度防禦。關鍵績效指標應設計為捕捉和測量每一層控制的預期有效性。例如，許多組織報告有關在邊緣阻擋的垃圾郵件或釣魚郵件的數字，以及來自網際網路的掃描而被邊緣防火牆阻擋的數字。儘管這些數字可能令人印象深刻，通常在每月數百萬以上，但對安全幾乎沒有價值。我將其稱為「用來對付坦克的步槍」。這是一個例子：一個有意義的關鍵績效指標是展示病毒越過第一道防線，被第二道防線檢測並發出警報。這有助於改進第一道防線。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球CIO同步獲取精華見解 ]

心態 4、專注於關鍵績效指標例外管理

在建立穩健和有意義的安全關鍵績效指標後，每個關鍵績效指標項目必須有一個合理的目標。然後，安全組織可以專注於監控和管理未達到確定目標的關鍵績效指標項目。

心態 5、數據保護必須關注普通員工

大多數數據泄漏事件來自「無惡意意圖」的員工，要麼是出於無知，要麼是為了尋找捷徑。組織的實際影響和損失可能與由犯罪駭客造成的相同。

[ 推薦閱讀：SEMI 攜手半導體供應鏈 提升資安實力 ]

心態 6、熟悉風險評估，補救成本，知道風險補救措施優先順序

資深安全經理必須掌握這些技能。安全是由風險發現推動的，有限的資源下，應將緩解成本納入風險補救優先順序。重要的是要注意，不是所有風險都需要完全補救；有時可以接受風險。你有勇氣向執行長傳達這一點嗎？

(本文授權非營利轉載，請註明出處：CIO Taiwan)