回顧五年前2017年,資安長的議題在政府機構、各產業逐漸展開熱門的討論且持續不間斷地調適與改變中,率先帶動的產業則是金融單位,無論是金控、壽險、證券業,從去年已經逐漸著手策畫,甚至去年12月底,金管會新版「公開發行公司建立內部控制制度處理準則」正式發布施行的內容中要求企業於規範的條件內,均須於今年2022年具備資安長的準備動作。因為這兩年疫情影響因素,也加速產業數位轉型的腳步,其中的一喜一憂,喜的是企業單位逐漸與數位接軌促進營運發展,憂的是許多樣態的網路攻擊威脅相繼成為企業安全上未知的隱憂。
資安長CISO,該如何配置最佳化的資安資源?
今年六月,金管會加快腳步再度宣布以兩階段進度,要求上市櫃公司設立資安相關單位,此舉致使大型企業紛紛啟動尋覓合適的資安長來進行制定更縝密的資安策略,並於合規基礎上掌握當前資安威脅的趨勢與防禦。資安長CISO該如何配置最佳化的資安資源,同楊成為近期熱門討論的議題。
四月微軟 Microsoft CISO Salon邀請DEVCORE(戴夫寇爾)執行長翁浩正以白帽駭客的觀點,分享企業資安風險資源配置的思維與企業資安最佳的投資策略。翁浩正於 Microsoft CISO Salon 開始則提出一個關鍵的思維表示,企業現行遇到最大的困境並非來自對法規難以遵循或是對資安規畫尚未擬定策略,而是對資安風險戰場的認知遠比企業想像得⼤,對於身為防禦者的企業和未知的攻擊者彼此之間資訊不對稱,造成企業難以從駭客攻擊者的視角辨識出重點防禦區域,企業無法進行有效的防護配置,未設防禦的區域成為駭客攻擊入侵的路徑,導致成為企業資安防護上嚴重的損失。
戰略思維比購買武器更有效 !
翁浩正建議企業對於檢視資安風險,不應只檢視法規要求的項⽬來挑選防護範圍、防禦標的、採購資安設備及服務,企業可透過外部的三方的風險評估方式例如,紅隊演練、滲透測試等,進行綜合考量與驗證投入資安防護的有效性,也可以進階檢驗投入的資安資源,例如盤點監控涵蓋率、資安事件的準確性及回應的時間等,來檢視未知風險之所在。
現階段已有許多數組織企業配合法規及永續經營的考量,逐漸提高資安預算的比例,對於企業底要投資多少資安預算才穩當? 翁正浩表示,「企業應先認知資安預算是維持企業穩定營運的重要一環,不單只是一筆 IT預算,而應該從持續營運的角度進行IT預算的思考。戰略思維往往比單純購買武器更有效。」進一步舉例,DEVCORE團隊長期服務客戶端所看到的現象,多數企業進行IT預算編制的考量過於著重已知、現存的漏洞,卻忽略尚未被發現的系統漏洞也可能會對組織造成高度衝擊與高風險的威脅與破壞,這現象就是從購買的著手,而非從戰略的思維去考量。
結語
最後,DEVCORE(戴夫寇爾) 執行長翁浩正整體建議,企業應依真實風險來投入預算或進行採購,透過風險評鑑範圍擬定相對稱的預算規劃,進行最佳化投資。針對風險評鑑範圍,應該將被動化為主動,從『駭客思維』出發,透過攻擊演練實戰操兵找出企業潛在高度威脅區域,並且充分優化企業內的風險評鑑機制,持運維運整體資安防護品質,這才是正確評估風險與預算適切均衡分配的投資。