[遠傳資安長 朱建國] 穿越法遵回歸初衷:健全資安體質,帶企業走得更長遠
“身為一個從事資安領域超過十五年的資安人,我深刻地體認到資安這個領域要走的路很漫長,而且對於企業而言幾乎沒有捷徑。現在很多企業受到法規驅動來思考資安議題,但我的建議是「法規是方法、而不是目的」。立法背後的原意,在驅動企業從自身所面臨的資安風險威脅來思考,重新檢視科技及業務快速更迭下的資安議題,而非將法遵視為最終目標。”
近年來資安事件頻傳,去年底金管會發布《公開發行公司建立內部控制制度處理準則》修正草案,明訂台灣上市櫃公司需依據公司規模及產業別,設置資安長及資安專責單位等規範後,相關議題成為上市櫃公司當務之急,許多企業都紛紛尋求可行的經驗借鏡。
遠傳身為國內大型企業的代表之一,多年前就啟動了數位轉型,聚焦在大人物(大數據、人工智慧、物聯網)及雲端等先進技術的創新及業務發展。 在轉型過程中我們總經理很快的察覺到,技術開發部門眾多,儘管都有各自對應的資安單位,但當資安需求愈趨複雜時,會需要以更宏觀的角度來思考資安整體戰略,體察資安作為的合宜度,並做更妥善的資源調度,以強化公司整體資安防護量能,發揮更大資安綜效,因此在2021年7月份總經理成立「資安辦公室」,統籌資安策略規劃與資源整合,以利各項工作的推動與執行。
首重組織內部協調,促成資訊與資安團隊合作無間
有鑑於資安事件帶來的威脅漸增,相關資安法規及要求變動也很快,「遠傳資安辦公室」一方面要專注技術防護,同時也要負責技術以外的內、外部法規及制度協調。 對我們而言,短期的任務在於協調公司各事業群在資安措施上有一致的步調,進而優化資源的運用,尤其是如何採取迅速作為以滿足快速變動的法規;長期目標則是要強化遠傳的資安防護能量,並與子公司一同強化技術架構協作,進而也協助我們客戶提升資安防護,盼能最終形塑資安聯防的整體戰力。
如同資訊的專業領域是專業分工與快速更迭,資安的技術分工也相同。但我常說資安工作之所以不容易,是在於資安制度與技術涵蓋需更全面,有時更需擴及資訊以外的面向;且通常在組織內,資安人員的配置也十分精巧。 因此身為資安長,最重要的任務即是善用組織內部任何可用之資源,尤其是在人力部分,透過任務編組等方式,擴大能量,為公司整體資訊環境營造一個更安全的領域,在後續新業務開發的時候可以將風險降至最低,並透過持續且良性的跨部門溝通,在組織內形成一個完整均衡的生態系。
舉遠傳的例子來說,針對一個新系統的開發,從事前的風險評估,事中也就是寫新系統的階段如何在相對安全的環境和程序中開發,到事後即上線前的模擬攻擊檢測,我們致力提供涵蓋各階段完整的制度指引與技術導入,讓資訊與資安人員之間達到互相搭配、合作無間。 另外,儘管早期的法規只規範到公務機關,但遠傳很早就開始自主進行全體員工的資安意識訓練,包含定期進行社交工程演練等。
風險不可能為零、但要能控管,提升全員資安意識,強化企業韌性
在數位化的時代,我們必須有個很重要的認知,就是每個員工其實都是企業所營造「數位領域」中的成員,他們持續使用email、APP等各種數位化的工具及管道進行內外部的溝通,努力扮演企業數位世界的成員;而駭客的思維則是找到企業的弱點進行攻擊,比起跟防火牆硬碰硬,數位演進下的員工反成為駭客更佳的攻擊對象, 因此對企業來說,提升全員的資安意識,訓練員工應對資安事件的敏銳性,健全企業的資安體質與韌性,絕對是打造永續營運的軟實力。
從事資安工作我們很清楚,風險不可能為零,但要可控管。現階段除了資安長議題,企業更大的挑戰可能在於,由於技術的變化太快,對應新技術新業務,如何掌握每個新業務、新導入技術背後的資安風險,背後倚賴的是資安人員更深入的理解與鑽研,然而市場上資安人才稀缺,遠傳的做法是透過在職訓練(on-job training)來養成,但這會需要比較長的時間,也因此更需要及早著手,才能對內培養自主能量、對外因應資安衝擊。
這兩年因為疫情加速數位轉型,特別是去年五月台灣在短期內升至三級,大量的遠距辦公、遠端系統維運等需求,工作形態轉型準備時間嚴重被壓縮,更考驗著企業的數位敏捷度與資安因應能力。 就如同我們時常發現資安事件的發生,總是在意料之外的地方,疫情或災害也是一樣的情況。 唯有平日就建立起一定程度的技術量能與規範基礎,而非都是臨時抱佛腳,再依照事件當下的需求強化資安監控的能力與細緻度,才能將營運風險控制到最低。
法規是方法不是目的,從風險出發重新檢視資安
作為一個從事資安領域超過十五年的資安人,我深刻地體認到資安的路很漫長,而且沒有捷徑。加上近年來台灣所面臨的資安威脅加劇,使政府與相關主管機關加速提出資安相關的法令法規,期能提升企業資安能量。惟現在很多企業受到法規驅動來思考資安議題,但我的提醒是「法規是方法、而不是目的」。企業應從所面臨的資安風險威脅來思考,重新檢視遇到的資安議題,並了解立法背後的原意,而非將法遵視為最終目標。以近期最熱門的資安長議題來說,組織上需有明確的定位,才能產生相對應的任務職掌及目標,在此過程中同時符合法遵,才不會落入為做而做、僅回應表面議題。
透過上述遠傳經驗的分享,我們也希望即使產業屬性不同,每個企業亦有各自的框架與面臨的問題,或許無法直接套用,但能讓企業在各自的領域針對資安議題重新思考並產生一些火花,進而找出適合自己的一套模式與永續之道。
隨著數位科技不斷更迭出新,網路攻擊造成的企業營運風險持續升高、以及因應的各式新法規,都讓許多企業面臨更強的力道來正視資安議題,然而符合法遵就能讓企業永保安康了嗎? 「數位轉型 資安先行」這句話許多人並不陌生,尤其當企業體認到資安無法伴隨新業務一同成長的時候,引來的風險可能會吞沒成長帶來的利益時,就知道這不是一句口號而已。 唯有從風險為出發點思考,對內培養自主能量、對外因應資安衝擊,才能形塑健全的資安體質,帶領企業走向永續發展。
- 了解更多遠傳資安服務