在今天看見明天
熱門: 台積電 兆豐金 股市 00929 航運股

台灣企業低估軟體供應鏈風險,建議每家設立資安長!Google Cloud解密職務6大必備技能

台灣企業低估軟體供應鏈風險,建議每家設立資安長!Google Cloud解密職務6大必備技能
Google Cloud亞太區CISO(Chief Information Security Officer)辦公室負責人Daryl Pereira。(攝影/張如嫻)

張如嫻

職場

Google Cloud

2024-11-07 15:40

為了健全企業資安環境,金管會要求台灣上市櫃公司依照營運規模與業務情況配置資安專責人員,截至今年上半年,台灣公開發行以上企業(含公開發行、興櫃、上櫃、上市)有23.1%設置資安長職務,比例不算高,但已較去年同期成長14.8個百分點。然而,仍有不少資安長是由IT人員或其他部門主管兼任。

 

作為掌握公司資訊安全的「指揮官」,資安長究竟需要具備哪些能力、該做哪些事?《今周刊》專訪Google Cloud亞太區CISO(Chief Information Security Officer)辦公室負責人Daryl Pereira,解密資安長的必備技能和角色。

 

首先,要有什麼樣的經歷才能當資安長?Pereira曾在德意志銀行、西太平洋銀行IT部門工作,他指出,有這樣專長和經歷的人,的確比較容易當到資安管理者,「但我也遇過資安長來自商業、化工和心理學背景,所以我認為擔任資安長的關鍵,是要對商業和技術都了解。」Pereira的意思是,資安長必須知道,當我們使用科技進行業務時,會產生哪些商業上的風險,所以就算是IT背景的人,也不見得都能勝任資安長。

 

資安長六大職責   打造企業防護罩

 

那麼資安長究竟要擔任什麼樣的角色?Pereira則給出六大工作重點。

 

第一是企業治理。Pereira指出,資安長得先了解公司組織架構、具備領導力,並對高階經理人和董事會發揮影響力;也就是說,資安長要協助高階主管了解如何用科技安全地發展業務。

 

第二是了解人為因素。資安攻擊事件發生,大多都與人為因素有關,比如駭客利用社交工程手法詐騙,所以資安長得想辦法避免員工受騙、降低人為錯誤發生,「資安長要很清楚人的行為,此時心理學素養是很有幫助的。」Pereira補充。

 

第三,資安長必須做風險管理,第一步是了解公司擁有的數位資產、系統、硬體等,替機敏資料做保護措施,甚至員工的個資都要受保護。而資安長在進行風險管理時,當然也要對公司營運通盤了解。

 

「所謂資訊風險管理,不能只是待在象牙塔裡做,」Pereira說,「資安長要很清楚公司用什麼樣的系統來營運、系統如何設計、要有怎麼樣的防範,才會讓他在系統故障的時候,仍然獲得相對應的保護。」

 

第四點則是企業的持續經營管理,意指企業在面對突發事件或危機時,能夠確保關鍵業務持續運作,並在可能的情況下迅速恢復至正常運營的過程。

 

當網路攻擊事件發生且成功,企業很可能會停止營運,因此資安長必須在事前就做好規劃和演練,並讓所有員工都知道,資安事件發生後要如何回應、如何盡快復原並奪回控制權。

 

「幾年前大家不太知道這件事的重要性,但現在越來越多人開始重視,一旦遭到駭客攻擊,其實要盡快介入處理。」Pereira指出,資安長最重要的工作,就是召集各部門參與,包括財務、法務、人力資源、公關、技術部門乃至執行長都得了解,資安事件發生時各自的任務。

 

第五是技術,資安長必須與資訊長密切合作,了解公司使用哪些系統提供產品或服務,包括設置網路監控中心,辨識登入記錄、管理使用者權限、偵測防火牆是否有漏洞。

 

最後則是法遵。Pereira指出,資安長必須了解國際法規,並注意是否有新的規範,尤其是營運據點包含海外的企業,像台灣有上市櫃公司設立資安長的規定;新加坡沒有,但資安法卻規範一旦發生資安事件造成損失,需由高階主管跟董事會負責,他們有可能會被刑事處罰或繳罰鍰,所以很多公司也會設立資安長職務。

 

善用AI  企業資安更升級

 

在AI時代下,台灣企業的確擔心AI會被駭客拿來作為攻擊手段,不過Pereira認為這也是機會,AI可以解決「Tread(威脅)、Toil(苦力)、Talent(人才)」三大問題。

 

比如能讓AI閱讀情資,進而辨識可能的風險、提高防禦力來避免威脅;過去得靠人翻閱大量資料,一個個追蹤和偵測是否有惡意行為,現在則能靠AI快速掃過,自動幫你找出異常。

 

人才部分,可以用AI來提升工作效率和品質,比如靠AI調整不同程式語言寫成的防火牆以節省時間。

 

回到台灣,Pereira指出,企業可能低估了軟體供應鏈相關的資安威脅,根據 iThome 2024資安大調查,只有4%企業擔心未來一年發生「軟體供應鏈資安事件」,在25項風險中倒數第三,排在第22位。相較於美國企業對這項風險的擔憂應該排到前五名,明顯低估,「因此台灣企業對資安意識的確還有提升空間。尤其台灣面臨高地緣政治風險,無論政府或民間都應該在強化資安防護與意識。」Pereira說。

 

「我認爲解方還是回到AI,」Pereira表示,光是亞太地區資安相關工作就有一百多萬個職缺還沒有找到人,我們不可能一夕之間就把所有的工作職缺都填補上,但運用AI可以讓一個人的生產力倍增,做好防禦工作;同時他也建議台灣企業都要聘用資安長,並建立好的資安團隊,根據上述的六大要點來佈局,使用合適的工具提升資安防護。

延伸閱讀

新規登場》網路登入一律驗證、遠距辦公也納管  「零信任精神」背後的資安新商機!
新規登場》網路登入一律驗證、遠距辦公也納管 「零信任精神」背後的資安新商機!

2024-10-09

專訪》生成式AI模型也會被駭!趨勢科技營運長:AI PC時代來臨,4大解方護資安
專訪》生成式AI模型也會被駭!趨勢科技營運長:AI PC時代來臨,4大解方護資安

2024-07-08

資安人才荒》資安通報創新高、變嚴重  政府防駭速度卻跟不上    公部門缺近七百資安人力  為何只招六人
資安人才荒》資安通報創新高、變嚴重 政府防駭速度卻跟不上 公部門缺近七百資安人力 為何只招六人

2024-07-03

資安模範》它推動的準則  讓全球半導體業、德國車廠都採用  一場網攻讓台積變資安標準推手
資安模範》它推動的準則 讓全球半導體業、德國車廠都採用 一場網攻讓台積變資安標準推手

2024-05-29

體育老師兼任資訊人員、防護太老舊⋯校園資安藏隱憂!專家:應由外到內聯防,靠AI助攻
體育老師兼任資訊人員、防護太老舊⋯校園資安藏隱憂!專家:應由外到內聯防,靠AI助攻

2024-05-15