資安周報第44期：無法獲得執行長授權的資安長，就如同折

jis2577

不論是資安長或資安人員，一旦發現公司有營運或作業風險時，一定要有可以越過上級、直達天聽的通報管道，才能發揮應該有的效果。

現任臉書安全長Alex Stamos 在去年六月從雅虎離職的重要原因就是，雅虎執行長Marissa Mayer不重視資安，在進行與用戶權益相關的決策時，將資安長排除在決策之外。現在，雅虎必須承受當初不重視資安的後遺症，像是預計併購雅虎的電信公司Verizon，便傳出可能要求減價10億美元做為未來的賠償準備金。

企業對IT的依賴越深，也就更有可能設置資訊長（CIO）這樣的角色，不論是提升效率、降低成本或是改善流程等，都可以說是資訊長的專長之一。但是，便利與安全往往是天平的兩端，哪一端法碼重一點，哪一端就會往下沈，因此，如果一個公司要求資訊長同時兼任安全長（CSO）或資安長（CISO）的角色，長期而言，並不適合，尤其是，公司規模如果大到一定程度時，資訊長若同時身兼資安長的角色，很容易演變成「球員兼裁判」的窘境，畢竟，自己怎麼可能發現自己的作為是有風險，甚至還會自己懲罰自己呢？
也因此，公司規模大到一定程度，或者是公司的營運型態，每個環節都必須從風險角度加以控管時，設置一個獨立的資安長，就是增加一個可以在公司營運流程上，做控管、踩煞車的角色。
但是，當公司設置資安長角色時，必須要有來自公司管理階層的全力支持，甚至於，公司的執行長或總經理也必須具備一定程度的資安高度，否則，無法獲得高層支持的資安長，將有如折翼的老鷹，有翅膀也飛不起來。
而現任臉書安全長Alex Stamos原本擔任雅虎的資安長，當初就是因為雅虎執行長Marissa Mayer不重視資安，在維護用戶權益的議題上，越過資安長等高層直接做決策，也成為Alex Stamos決定跳槽的原因。
資安沒做好，付出的代價可能是10億美元
雅虎執行長Marissa Mayer在2016年5月接到來自美國聯邦調查局（FBI）或是國家安全局（NSA）的指令，要求雅虎配合政府政策，搜尋並過濾使用者電子郵件內容。而身為公司最高管理階層的Marissa Mayer，並沒有堅守保護雅虎使用者隱私權的責任，便和少數高層決定遵循美國政府下達的機密指令，甚至直接越過資安長Alex Stamos和其他公司高層，下令電子郵件部門的工程師，撰寫監聽過濾使用者電子郵件內容的監聽程式。
Alex Stamos所屬的資安團隊，在這個監聽程式上線幾週後，就發現這個異樣的程式，當時甚至以為是駭客入侵雅虎安裝這樣一個監聽程式。直到後來發現是Marissa Mayer直接下達開發監聽程式的指令後，Alex Stamos認為，在這種與用戶相關的重大資安決策過程被排除在外時，也就興起不如歸去的念頭，便在6月跳槽到臉書工作，擔任臉書安全長一職。
電信業者Verizon在今年7月，決定以48.3億美元的價格併購雅虎公司，但隨即在9月傳出雅虎外洩5億名用戶資訊，並且有用戶開始集體訴訟求償時，加上日前爆發監聽用戶信件的消息，Verizon開始擔心未來可能必須負擔的官司以及賠償費用，便傳出Verizon打算將併購雅虎的價格直接減少10億美元，做為未來打官司和賠償的準備金。從這起Verizon併購雅虎事件來看，因為資安議題可能面臨的求償和損失，代價至少是10億美元的準備金。
資安長一定要有來自執行長等高層的授權和全力支持
一名資安長的工作內容，包括將安全從資訊系統擴大到實體安全與人員安全，也必須兼顧規畫能力、工作熱忱和工作績效評估等相關能力，才是判斷是否適任資安主管的重要特質。至於個人能力涵蓋面要十八般武藝樣樣精通，要懂得包括IT、資安、稽核、法律、財務和管理等相關能力，最基本，也要能夠掌握系統風險，落實法規遵循的要求外，對於企業內的各個流程和環節，像是風險管理、稽核、法務、財務等面向，資安長都有機會跨足並涉獵相關的安全管理。
但是，血淋淋的現實是，執行長或總經理對資安的支持程度，才是最後取決於企業設立的資安長，是否可以真正發揮應有功能的重要關鍵。也就是說，好的資安長一定有一個支持資安的執行長，讓資安長可以適切地將各種風險對企業營運帶來的影響範圍和程度講清楚、說明白的最終靠山；而一個不被執行長重視的資安長，即便個人能力再強大，因為資安長無法跟公司高層完整說明相關資安風險及其影響時，將使得資安長形同虛設、無法發揮應有的作用。
許多外商公司的董事會成員中，都會有懂資安的代表，而公司營運報告中，資安往往是最重要的報告事項之一，絕對不會像是臺灣企業一樣，董事會報告只看公司賺多少錢、賠多少錢、這個營業項目可以幫股東賺多少錢等等，只要是攸關這個公司能否維持正常營運的種種事項，尤其是與安全、風險相關的內容，都應該列為臺灣企業董事會的報告內容之一。
資安人員通報公司營運風險時，要有直達天聽的管道
不過，臺灣企業對於資安的忽略，使得公司不僅不願意投資在資安上，更遑論聘僱專業的資安人員。因此，一旦公司面臨作業和營運流程上的疏失，急需要專業的資安人員提供建議時，往往只能花大錢聘請外部的專業顧問協助。
問題是，外部顧問再怎麼專業，很多作業流程甚至是產業的專業知識等，還是內部成員最清楚，最終，內部還是得要有一個專門的資安人員，作為和外部資安顧問橋接的窗口。如果早晚都必需要有這樣的資安窗口設置，為何不能及早設置呢？
「有人的地方，就有江湖」，多了一個職務，就得面臨企業內的資源如何重新分配的問題，甚至是另外一種資源競逐的開始。但是，如果要能夠徹底發揮資安長可以扮演的角色，或者是，只是一個資安專門人員扮演的角色，公司高階主管一定要賦予該名人員一個「直達天聽」的管道。
也就是說，一旦這些資安長或資安人員有發覺到，有任何的作為會影響到公司系統安全、營運安全，甚至是公司能否持續營運等重要關鍵議題時，這時候，資安長或是資安人員等，都可以直接越級上報，越過所有的主管階層，直接通報最高的總經理、執行長、董事長等等，讓這些負起公司營運全責的角色，可以在第一時間內就掌握到最新情報。
也因此，如果公司規模夠大，資訊長和資安長因為任務不同、立場不同，不應該由同一個人兼任，甚至於，應該是獨立的兩個資訊和資安部門的主管，各自扮演適當的角色才是。
但如果公司規模中等，有資訊部門的設置，卻沒有辦法獨立出資安部門時，資訊部門往往會同時有資訊和安全的專門人員在內，那如何做好內部分工，並設定適當的評量指標，像是，降低成本、提供效率就不可能是資安人員的KPI，讓資安人員可以從系統面和流程面檢視營運風險所在，就可以發揮資安人員最大的功用。
如果只是一個小公司，至少要做到守法，公司才能繼續營運，這種小規模公司可能連IT人員都沒有的情況下，更遑論要有資安人員。因此，守法是小公司的基本，其他的，則可以透過適當的資安委外，選擇重視資安的委外服務業者來減少小公司營運的風險，才是上策。