富而德國際律師事務所資安長Mark Walmsley表示,主動採取安全措施有助於企業贏得客戶,並讓其律師擁抱安全。
文/Dan Swinhoe 譯/曹乙帆
對於當前企業面臨的所有外部威脅,有時最艱鉅的挑戰可能是改變內部對網路安全和安全團隊所作所為的認知與看法。改變思維方式以便能將安全視為贏得新業務的一種助力,會是協助改變組織安全觀的一種方法。
英國富而德律師事務所(Freshfields Bruckhaus Deringer LLP)是一家國際律師事務所,其歷史根源可追溯至18世紀中葉。作為由倫敦5大菁英律師事務所組成之久負盛名「魔術圈」(Magic Circle)成員之一,同時也是世界上最古老的國際律師事務所,富而德如今在全球擁有27個辦事處,300多名偏及世界各地的合夥人,以及超過4,000名的員工。
資安長Mark Walmsley領導一個大約20人的安全團隊,專門負責實體安全、供應商品保、網路設計、客戶稽核、事件回應、滲透測試、安全意識培訓和隱私權工作。「人們可能會說法律界的安全防護落後其他產業,但實際上我認為我們正迅速迎頭趕上,」Walmsley表示:「與其他專業服務公司一樣,律師事務所的資金相當充裕,能夠迅速合理地做出決定。」
與企業討論正確的事情
Walmsley在進入IT部門並逐步晉升為資安長之前,曾在該公司擔任律師。他對他正在協助確保安全的業務有充份經驗與了解的這個事實是有助益的。「我很幸運的是,面對安全與法律,我兩面都能討好。律師是注重細節的人。你說的任何話他們都會鑽研清楚,所以你要做的就是仔細規畫好你要對他們說什麼、你要怎麼說,以及你要傳達的關鍵訊息是什麼,並保持簡短有力。」
了解這些鷹派律師們的動機,以及他們輕重緩急的地方,可以讓安全團隊以一種不僅僅只是降低風險的方式來推銷新的安全控制或技術。例如,移轉到有安全效益的 Office365 上,將此舉推薦給律師以作為讓他們工作更彈性並產生更多潛在商業機會的一種方式。
「一旦你開始和律師從客戶的角度談論到營收機會,並開始談論到彈性,你馬上就會吸引他們的注意力,它的副產品就是安全,」Walmsley表示:「如果你不談論安全和控制,轉而特別從客戶的角度談論好處和機會的話,那麼就會是另一種讓人變得充滿幹勁的對話。」
將安全作為業務發展機會
除了與業務部門合作來解釋更好的安全性如何使他們贏得更多業務外,Freshfields的安全團隊還將其專業知識作為業務開發機會。Walmsley表示,在這方面的一個實例就是透過特定產業標準的採用來吸引已經與不同領域有合作關係的企業。
「我們為幾家汽車製造商工作,他們擁有世界上其他人並不真正了解或欣賞的特殊安全控制,」Walmsley表示:「如果我們為自己設定的標準是其他律師事務所所沒有的,這意味著這些汽車製造商能給我們更多的業務,因為他們能夠確切解我們可以有效杜絕風險缺口。」
我們談論安全是為了將自己與他人區分開來。與自己合作夥伴和客戶的安全團隊進行對話是促成生意的另一種方式。「雖然律師多半和律師有得聊,但通常情況是,最終我們可以談論客戶端的風險函數,但我們的律師卻無法辦到,然後他們針對風險函數進行修正,然後表示富而德律師事務所在這樣的層次上為我們做到點這一點,富而德律師事務所然後在風險審查中引發正面迴響,這意味著我們可以為他們做更關鍵重要的工作,」Walmsley表示:「突然間,律師們會說:『我不知道我們是怎麼搞定這件事的』。而我們表示這是因為在這個行業裡我們能展現不同層次的工作能力。」
在這樣的狀況下,由於出現業務發展機會,業務所得到的就不僅僅是安全性而已。「我們談論安全是為了將自己與他人區分開來,」Walmsley表示。
作為供應商在安全上要積極主動
供應鏈安全是當前備受關注的話題。其中經由暖通空調(HVAC)系統供應商而對美國連鎖零售商Target發動的入侵攻擊可能是最臭名昭彰的,但如今攻擊者正利用像是代管服務供應商(Managed Service Providers, MSPs)之類的第三方廠商作為入侵其他組織的墊腳石。Walmsley表示,他渴望與富而德所服務組織內部的安全與風險團隊建立更積極主動的關係。「和其他行業一樣,法律界也會受到客戶的嚴格稽核,」他表示:「每個組織中總是存在鴻溝與差距。找出他們真正關心並在意的地方,他們因此可能會問出什麼樣的問題,並搶先掌握住他們的需求,這不是很有意義嗎?」
「沒有什麼比你的客戶敲著門說,『我們來稽核你』,結果你卻對要提供什麼一無所知來得更糟糕了,」Walmsley表示:「在富而德,我們撥打電話給稽核週期之外的稽核人員,詢問他們關注什麼,以及他們擔心什麼。共通性(Commonality)提供我們得以接近客戶的評量基準,也為我們提供了解未知事物的機會,反之亦然。」
從這些對話中,富而德可以為公司未來的策略提供一些資訊。例如,如果一位客戶表示,他們非常關注自己的供應商,甚至是合作夥伴的供應商,那麼富而德將確保它已經加倍提升自己的供應鏈管理流程,以便能即時因應來自該客戶或其他客戶的下一次稽核。
「這給了你多大的信譽?如果稽核人員會說,『他們事先打電話給我,他們理解我們需要稽核的問題,他們能夠交付該給的東西,然後我們今天前往並進行稽核,一切在他們的安全計畫之中』那又會有多好呢?一旦你這樣做了,你就結束了這種關係,那不是稽核關係,而是知識共享關係。」
推動安全理解與問責制
法律界正迅速經歷一場數位化轉型。在一個飽和的市場中,許多律師事務所期望透過各種數位和機器學習解決方案來實現差異化。「你必須在這方面創新,」Walmsley表示:「特別是當安侯建業(KPMG)、埃森哲(Accenture)、德勤(Deloitte)這類顧問服務公司都開始提供法律服務時,你需要更深入他們的世界一點才行。」
為了因應這一點,在這個領域裡的資安長們都面臨了創新、管理既有系統並降低小型安全團隊所常面臨負擔的必要性。雖然Walmsley試圖避免直接對新想法說「不」,因為這可能會助長地下IT(Shadow IT)或其他糟糕安全實踐等問題的發生,但他反而卻嘗試在企業中推動問責制(Accountability)。
「當人們對我們說。『你願意冒這個險嗎?』,我會說不。我們可以做到,但你必須對風險負責。你知道你一旦採取強硬的手段,就需要對自己負責,所以一旦爆發風險,那麼你會讓自己身陷攻擊最烈的火線上,」Walmsley表示:「如果他們真的想做些什麼,那麼我們可以共同承擔風險。如果他們走開了,那麼至少你會知道這是他們實際上不需要或不想要的。」
富而德的安全團隊致力於推動理解和問責制,以教導企業安全日常作業,並向他們直接展示所涉及的可能挑戰。該團隊每天都會舉辦安全簡報會,以檢討威脅情報、流行活躍的惡意攻擊活動、富爾德在網上被提到的地方,以及包括富爾德員工電子郵件在內的最新事件等等。如今安全團隊將其合作夥伴和業務人員納入不同小組而在簡報會分組討論,並和他們一起瀏覽即時情報。
「他們認識的人經常出現在我們的報告中,」Walmsley表示:「有人可能在情報中發現了他們其中一個團隊,或者有人可能擔心某人離開組織。我們可以在那裡進行審批流程,然後對個人進行即時威脅報告,並能指出他們迄今為止的所有活動都是正常的,但我們會將把他們納入監控與追縱之列。」
對安全工作複雜性的可見度,讓富而德的企業領導人更能清楚檢視可能的挑戰。「他們意識到這不是二元的,不是只有是和不是而已,我們面臨的挑戰難道只有安全或不安全而已?就像下棋一樣,」Walmsley表示:「你必須在整個過程中移動你的棋子,以確保你能建立最佳的防禦水準。一旦你向人們展示了威脅的複雜性,以及該有的因應程序和行為時,那麼他們就會突然意識到這一點並變得更有責任心。」