微軟亞洲首席安全顧問：企業提高資安防禦應做這三件事

william77

CEO面對資安得親上火線，設風險長取代CIO接掌資安部門。

微軟亞洲首席安全顧問Pierre Noel表示，解決資安的問題已經不是企業CIO的事， CEO也必須要具有資安戰略的高度，才能夠依據資安風險管理和評估的結果加以判斷後，由上而下做好資安風險的管控，而不只是單單由CIO解決IT安全而已。

過去由企業CIO全權處理資安問題的作法，一直以來是許多企業為因應網路安全而採取的常見手法，由CIO主導，決定資安策略以後，再由旗下IT部門共同執行企業內部的資安防禦策略。但微軟亞洲首席安全顧問Pierre Noel卻給出了不一樣的答案，他說：「資安問題再也不是CIO的事，而是得靠CEO親上火線才能解決。」
資安不再是CIO的問題，更得拉高到CEO的層級
過去為許多政府、金融與大型企業提供資安與風險管理已累積超過25年資歷的Pierre Noel，日前來臺時針對企業資安提出了他的最新觀察。Pierre Noel表示，現在許多企業都把資安問題定調為IT職務的範疇，然後全部交由CIO和IT部門來解決，這件事在他看來，這是非常錯誤的作法。
因為，他說，現在許多企業在處理資安或網路安全（Cybersecurity）事件時，面對的不再只是IT安全問題，像資安風險管理和評估等也都是CIO必須要考慮的部分。
因此，「若只把懂得IT的CIO拿來負責評估資安風險，反而是用錯了地方，將對的工作放在不對的職務位置上。」Pierre Noe表示。
Pierre Noel也強調，要解決資安問題，已經不是企業CIO的事，而是必須要拉高到CEO的層級，CEO必須具備足夠的資安戰略的高度，才能夠綜觀依據資安風險管理和評估的結果加以判斷後，由上而下做好資安風險的管控，而不只是單單由CIO解決IT安全那麼簡單。
當然，一般而言，CEO對於資安專業的知識，通常並沒有CIO了解的那麼多，所以還是得要經過CIO向上呈報後，CEO才能夠依此來下達判斷是否要提高資安投資。
但Pierre Noel直言，很多時候，CIO遇到重大資安問題而要向CEO說明時，往往會遇到另一個難題是，CIO不懂得用CEO聽得懂的語言來溝通，以致於常常發生CIO講得口沫橫飛，但CEO聽完後，還是無法確切掌握目前資安風險嚴重程度，也就無法下達正確的判斷。
所以，比起將資安問題交由CIO負責處理，Pierre Noel建議，企業在解決資安問題時，最好的作法是不要再過度依賴CIO，甚至應該將原有的資安團隊，徹底移出IT部門，而交由企業的風險長（CRO，Chief Risk Officer）或其他相似職位的主管來全權處理。
將資安團隊設置在CRO底下，會比放在CIO之下還更合適的原因在於，Pierre Noel解釋，因為CRO原本的任務就是負責管理公司營運風險，並要定期直接向CEO報告，所以當然能用CEO聽得懂的語言溝通，才可以讓CEO很快掌握全局；另一方面，由CRO主導資安時，也能考量到更廣泛的安全風險層面，以做出更好的風險評估。此外，在將資安交由CRO主導後，CIO也能夠專心做他該做的事。
不過，資安不能只單靠CIO來處理的另一個原因，也在於現在企業所面臨的資安嚴峻考驗，比起過去幾年都還要高出許多，不只是資安事件層出不窮，甚至今年上半年全球就發生多起重大駭客網路攻擊，造成的不只有大型跨國銀行被盜轉數千萬美元、多家大型醫院電腦都慘遭加密軟體勒索大筆贖金，還有企業高達有數TB的內部文件全部外洩，就連美國政府軍方和國防部也有數萬筆資料遭竊。
企業提高資安防禦應做的3件事
面對越來越多大量的網路攻擊事件頻傳，甚至更多是來自組織犯罪（Cybercriminal）的駭客攻擊。Pierre Noel建議，企業若是想提高資安防禦的能力，應優先做到3件事。
首先是在企業內部應設有專門的資安負責人，才能落實問責的機制，以確保資安決策者每做出的任何一個資安決定，都能以保護企業安全為最優先考量。
其次，要建立一套資料保護分類（Classification）的機制，因為若沒有完善的資料分類，企業根本難以得知機器設備保存的資料是否重要。一旦企業掌握清楚，就可以只專注在這些存放重要資料或文件檔案的關鍵式系統，來強化安全防護，而不是一味地將所有無關緊要的資料都納入保護的範圍。
最後，企業也能從一些目前已公開取得的資安防禦策略當中學習作法，例如澳洲國防部的35項企業資安防護步驟等，來建立一套專有的資安策略，並加以貫徹執行。