今年3月,公共電視新聞影片資料庫遭外包資訊廠商誤刪,42萬多筆新聞資料中,約10萬筆資料毀損;同月底,世界最大的汽車零件供應商電裝(Denso),也被竊取了1.4TB的機密資料,遭到駭客集團勒索。
資安事件頻傳,金管會去年也公布〈公開發行公司建立內部控制制度處理準則〉修正草案,要求資本額達百億以上,或前一年底屬台灣50指數成分的上市櫃公司,今年底前應設置資安長(CISO),以及資安專責單位。根據證期局統計,符合第一級的公司有111家。
不只政策的壓力,疫情也加速企業的數位化腳步,如今資安人才已成為當紅炸子雞。據104玩數據分析, 2021年平均每個月的資安工作數來到1326個,與2017年平均每月539個相比,資安人才需求在5年內成長了1.5倍。
和防疫一樣,企業做資安不是求清零
資安議題愈來愈受重視,企業經理人應該抱持什麼心態,以及有什麼具體作法?勤業眾信風險資諮詢服務執行副總經理林彥良指出,最重要的觀念是,沒有一家公司不會被攻擊,資安和防疫一樣,不是求清零,而是要降低駭客攻擊對企業營運的影響。
畢竟,即便是國家軍隊,享有最高級的人才、資源,都會被駭客打穿,因此要接受這件事,與駭客共存,思考被攻擊之後,如何繼續存活。在找資安人才、建立體系前,企業可以先把2件事放在心上:
重點一:人才不要只講求技術,要理解企業營運價值
林彥良說,在找尋資安人才上,有一個很重要的概念是,不要只以技術層面為重,而是要能掌握企業的營運目標,知道什麼事情是要保護的標的。
以雜誌業來說,如果駭客要攻擊出版社,可以攻擊網站、編輯的後台系統、偷記者的草稿,或是滲透印刷廠;有些人可能會想,「不能印雜誌,就不能賣錢,所以要優先保護印刷設備。」但事實上,雜誌業高階經理人會認為,文章內容才是要被保護的重點。
換句話說,建立資安長、資安團隊,除了具備技術,還懂得企業營運價值,才是符合趨勢的人才。
此外,資安工作者並不一定是得具備資安背景。104 玩數據今年3月曾分析站上的資安工作機會,發現其中 44.5% 不限科系,也就是說,只要具備資安能力或相關證照(如CEH、CISSP、CCNA等)就有機會從事資安工作。
林彥良建議,可以從業務單位培育人才。先找到懂業務的人,再教他基礎資安概念,會比找資安背景人才,再教他業務知識來得快。一般來說,培育成熟的資安人才,至少要3~5年來養成。
重點二:把「資安」與「資訊」分開,做好層層防護、把關
另一個重點在於,企業應把資安與資訊(IT)部門劃分成不同單位。林彥良指出,IT處理的事情不夠廣泛,以工廠生產系統來說,IT會管到製造執行系統(MES)、產品生命周期管理(PLM),但機台上的公共系統,例如實驗室裡面的設備,或許IT就管不到。資安不一樣,要從全公司的角度出發。像是委外開發、雲端服務、自購設備管理,都和資訊安全高度相關。
林彥良說,企業在風險管理上有3道防線。第一道防線以業管單位、資訊處負責,承擔與管理基本風險,像是一線單位做好資產管理與維護,向審計委員會報告。第二道防線則是資安專責單位負責,主要任務包含資安治理、監控與應變,向風險管理委員會報告。第三道防線是內部稽核單位處理,進行獨立稽核。
總結來說,設立資安長、把資安部門化,至少在預算上可以獨立,有明確的配給,像是舊的系統沒升級、有攻擊漏洞沒有修補,這些都能由資安單位規畫預算,再交由資訊單位執行。
延伸閱讀:
Airbnb 宣布永久遠距工作,怎麼確定員工有認真上班?執行長:對我來說答案很簡單
以為只要自己多努力,就能解決所有問題?薩提爾的「慣性模式」論,一眼看懂職場陷阱
本文授權轉載自:經理人月刊
責任編輯:傅珮晴、錢玉紘
