過去由企業CIO全權處理資安問題的作法,一直以來是許多企業為因應網路安全而採取的常見手法,由CIO主導,決定資安策略以後,再由旗下IT部門共同執行企業內部的資安防禦策略。但微軟亞洲首席安全顧問Pierre Noel卻給出了不一樣的答案,他說:「資安問題再也不是CIO的事,而是得靠CEO親上火線才能解決。」
資安不再是CIO的問題,更得拉高到CEO的層級
過去為許多政府、金融與大型企業提供資安與風險管理已累積超過25年資歷的Pierre Noel,日前來臺時針對企業資安提出了他的最新觀察。Pierre Noel表示,現在許多企業都把資安問題定調為IT職務的範疇,然後全部交由CIO和IT部門來解決,這件事在他看來,這是非常錯誤的作法。
因為,他說,現在許多企業在處理資安或網路安全(Cybersecurity)事件時,面對的不再只是IT安全問題,像資安風險管理和評估等也都是CIO必須要考慮的部分。
因此,「若只把懂得IT的CIO拿來負責評估資安風險,反而是用錯了地方,將對的工作放在不對的職務位置上。」Pierre Noe表示。
Pierre Noel也強調,要解決資安問題,已經不是企業CIO的事,而是必須要拉高到CEO的層級,CEO必須具備足夠的資安戰略的高度,才能夠綜觀依據資安風險管理和評估的結果加以判斷後,由上而下做好資安風險的管控,而不只是單單由CIO解決IT安全那麼簡單。
當然,一般而言,CEO對於資安專業的知識,通常並沒有CIO了解的那麼多,所以還是得要經過CIO向上呈報後,CEO才能夠依此來下達判斷是否要提高資安投資。
但Pierre Noel直言,很多時候,CIO遇到重大資安問題而要向CEO說明時,往往會遇到另一個難題是,CIO不懂得用CEO聽得懂的語言來溝通,以致於常常發生CIO講得口沫橫飛,但CEO聽完後,還是無法確切掌握目前資安風險嚴重程度,也就無法下達正確的判斷。
所以,比起將資安問題交由CIO負責處理,Pierre Noel建議,企業在解決資安問題時,最好的作法是不要再過度依賴CIO,甚至應該將原有的資安團隊,徹底移出IT部門,而交由企業的風險長(CRO,Chief Risk Officer)或其他相似職位的主管來全權處理。
將資安團隊設置在CRO底下,會比放在CIO之下還更合適的原因在於,Pierre Noel解釋,因為CRO原本的任務就是負責管理公司營運風險,並要定期直接向CEO報告,所以當然能用CEO聽得懂的語言溝通,才可以讓CEO很快掌握全局;另一方面,由CRO主導資安時,也能考量到更廣泛的安全風險層面,以做出更好的風險評估。此外,在將資安交由CRO主導後,CIO也能夠專心做他該做的事。
不過,資安不能只單靠CIO來處理的另一個原因,也在於現在企業所面臨的資安嚴峻考驗,比起過去幾年都還要高出許多,不只是資安事件層出不窮,甚至今年上半年全球就發生多起重大駭客網路攻擊,造成的不只有大型跨國銀行被盜轉數千萬美元、多家大型醫院電腦都慘遭加密軟體勒索大筆贖金,還有企業高達有數TB的內部文件全部外洩,就連美國政府軍方和國防部也有數萬筆資料遭竊。
企業提高資安防禦應做的3件事
面對越來越多大量的網路攻擊事件頻傳,甚至更多是來自組織犯罪(Cybercriminal)的駭客攻擊。Pierre Noel建議,企業若是想提高資安防禦的能力,應優先做到3件事。
首先是在企業內部應設有專門的資安負責人,才能落實問責的機制,以確保資安決策者每做出的任何一個資安決定,都能以保護企業安全為最優先考量。
其次,要建立一套資料保護分類(Classification)的機制,因為若沒有完善的資料分類,企業根本難以得知機器設備保存的資料是否重要。一旦企業掌握清楚,就可以只專注在這些存放重要資料或文件檔案的關鍵式系統,來強化安全防護,而不是一味地將所有無關緊要的資料都納入保護的範圍。
最後,企業也能從一些目前已公開取得的資安防禦策略當中學習作法,例如澳洲國防部的35項企業資安防護步驟等,來建立一套專有的資安策略,並加以貫徹執行。