疫情爆發以來,駭客攻擊層出不窮,對企業的威脅與日遽增。近年來,資安長(CISO)不只受國際企業高度重視,國內各產業增設資安長及專責單位的議題亦逐漸受關注,2021年12月28日,金融監督管理委員會正式發布新版「公開發行公司建立內部控制制度處理準則」,明訂台灣上市櫃公司需依據公司規模及產業別,設置資安長及資安專責單位或資安專責主管等,規範公告至今已有不少企業採取行動,設置資安長更是上市櫃公司當務之急。
隨著企業資安生態持續改變,資安長不僅須具備優異技術能力,良好的溝通能力和對公司業務的深度了解更是不可或缺。根據Deloitte研究指出,資安長所須具備的技能包含四個面向—技術專家、守衛者、戰略家和顧問。首先,作為「技術專家」,資安長負責指導安全技術和標準的部署及管理;作為「守衛者」,資安長監控和調整程式及控制以持續提高安全性;然而,技術的控制和標準並無法完全杜絕網絡攻擊,且資安長無法掌控所有可能產生資安缺口的決策,因此,戰略家和顧問的角色更顯重要。作為「戰略家」,資安長需要讓資安策略與公司業務策略維持一致,以確保資安上的投資能為企業帶來價值。最後,作為「顧問」,資安長必須幫助業務團隊了解網路安全風險,以做出明智的決策。
在落實維護企業資安的過程中,設置資安長或資安專責單位僅為其中一項要務,而「零信任」早已成為所有企業及員工必須建立的基本資安思維,企業必須事先假設網路可能出現漏洞,提供員工最低的資料存取權限,限制與嚴格實施存取控管,才得以將機敏資料外洩等資安事件的風險降至最低。再者,在建立資安防護系統前,企業必須先盤點及檢查現有工具的安全性,並呼籲員工善用如多因素驗證等既有工具,為自身建立基本的資安防護。最後,不僅僅是資安長的設置,企業應多加思考資安人才的培育,注重團隊多樣性並加強員工的資安技能培訓。唯有透過設置資安長、資安專責單位、培育資安人才、及建立多元化的團隊,才能加速改善現況,進而迎戰現今複雜多變的網路安全挑戰。(本文作者為微軟全球助理法務長及台灣微軟公共暨法律事務部總經理施立成)