恶意软件勒索事件频传,使企业更加重视安全防护,金管会规定上市柜公司必须设置首席安全官与安全专责单位,有利企业内部执行资源调度。不过许多人至今仍不了解“首席安全官”与“首席信息官”差异,以及在安全防卫战中身为第一防线的功效。
勤业众信风险咨询服务执行副总经理简宏伟指出,安全不是技术面,是“治理”,需要决策层参与,以及董事会沟通。因此,首席安全官作为“监督、审核”角色,掌握全公司风险蓝图,安全风险管理不只资讯安全还有通信安全,推动政策时须配合运营团队和董事会愿景,协助风险管控。
至于首席信息官/首席数字官,则通过通信科技,配合运营团队目标,促进产业转型或者加速工作流程改善。简单来说,首席信息官偏向执行、规划,从数字化推动方向,首席安全官是独立审核、风险监督。
首席安全官、首席信息官等级怎么安排?
简宏伟表示,部分公司因成本考量整合两者,但若监督、规划、执行都是同一人担任,恐难以发挥功效,“首席安全官应是独立第三方审核单位,与首席信息官合作制衡”。他也分享美国联邦政府的合作模式:
1. 首席信息官在首席安全官之上
企业较着重在组织“数字化”推动,选择由资讯政策带领整个组织发展。当系统上线时,必须先经过首席安全官签核、确定安全部分无问题,再由首席信息官做最后签核,上线系统。
2. 首席安全官在首席信息官之上
对企业来说,“安全防护”、“风险管理”较推动数字化重要,系统上线时首席信息官先签核,再交由首席安全官签核。
3. 首席信息官、首席安全官平行
两个职位是制衡的,凭借更高端主管协调。
首席安全官该由谁担任?
简宏伟认为,除了有安全专业外,首席安全官职责在于统筹、协调不同部门合作,必须是高端人员胜任,最好是机关副首长或者副首长授权的人员,如副总经理来担任首席安全官。
他解释,副总经理以上的人作为首席安全官,一来可负责对董事会报告,二来是能做好统筹、协调和资源调度,细节交由首席技术官或安全专责单位执行;若由技术人员担任,最多只是管理,重要决策时不一定符合董事会愿景和发展蓝图。
举例来说,若公司遇勒索软件使业务暂时停摆,在抵挡攻击后必须开始恢复,该先恢复作业和运营,还是先保存迹证?简宏伟说,这无法由首席安全官单独决定,而是董事会抉择,所以首席安全官必须分析,并向董事会报告,再由董事会决定重要决策。
遇勒索软件该立即修复还是花时间保存,须由董事会决定。(Source:Pixabay)
但首席安全官一上任可能会遇到诸多问题,例如前期资源分配较少、资源调度问题,董事会期望短期内看到安全发展蓝图等。简宏伟解释,公司可能认为安全维护耗费成本,且会阻碍发展速度,所以不会给予太多资源,所以如何协调跨部门合作成为新挑战,比起技术问题,更多是协调和合作问题。
安全专责单位是什么?
安全专责单位主要是规划整个公司安全管理,必须制定政策、掌握公司风险图谱, 包括资产和风险鉴别、风险评估、控制措施等,决定该采取哪些策略后交由资讯、业务部门等执行单位进行。
若进一步谈,安全专责单位可分成三部分:
1. 管理:管理制度,确认是否合乎法规,规划委外管理制度。
2. 审核:安全审核,进行内外部审核及整个执行监督。
3. 应变:监控公司安全防护能力,事件发生时即时应变和处理事后进行数字鉴识。
简宏伟表示,如果公司达一定规模,安全跟资讯最好是平行单位,首席安全官、首席信息官底下各自有自己的专责单位。
举例来说,有些企业系统是内部自行开发,过程中就必须有安全部门参与,定义所谓的“安全软件开发流程”,确认整个开发过程是否遵照这一流程。根据海外报告,如果软件开发没遵循类似的流程,等开发完才插件安全防护,会使漏洞变得更多、成本也高。
企业面临哪些安全威胁?小心自己人!
以往安全是自家企业学习自我防护和管理,但这几年攻击事件、漏洞大都来自供应链,不管原物料供应、系统供应、服务供应、委外厂商、甚至是自家企业系统,都可能成为漏洞来源。
简宏伟指出,因为许多系统模块可能使用开源软件,可能被植入恶意程序或本身存在漏洞,这都是供应链安全的一环。也因此,部分企业开始规划供应商生命周期管理,设置供应商分级分类,以降低安全风险。
另一个攻击是“社交工程”,即利用人性弱点,如财务部门收到汇钱通知、供应商变更账号等方式,获得通行码、账号或其他机密资料,突破企业的资通安全防护。
因此简宏伟建议,企业应秉持着“零信任”(永不信任,始终验证)的概念来创建核心架构,弭平业务、资讯和网络领域间的差距,降低运营复杂度,强化生态系安全。
(首图来源:shutterstock)