危機是否也能成為轉機?重點在於,面對危機發生後的因應態度。
臺灣本土百年老行庫第一銀行在2016年迎來臺灣金融史上最大的危機:金融ATM盜領案,金融駭客透過第一銀行英國分行的語音系統作為跳板,進到臺灣總公司內網後,透過橫向移動,取得關鍵使用者帳號密碼後,植入金融木馬程式,駭客透過遠端遙控方式,並由車手在第一銀行分行ATM盜領八千多萬元。
這起前無古人、後難有來者的ATM盜領案,對第一銀行帶來嚴重的商譽衝擊,但是,直視危機的第一銀行並未因此氣餒,他們透過獵人頭公司,積極挖角當時擔任資策會資安所副所長、兼任國家資通安全技術服務中心主任的劉培文,擔任第一銀行資訊管理中心副總經理一職,跨域挖角補漏洞的作法,讓第一銀行從ATM的盜領危機後,找到新的因應之道。
劉培文當時雖然因為資安專長而被找到第一銀行任職,但由於過往累積的豐富工作經驗,也讓他在當時還沒有資安長的職稱時,便直接接任資訊管理中心副總經理,同時管理資訊和資安領大領域。
爾後,劉培文的資訊、資安專業,在高度依賴資訊系統提供服務的金融業中,更進一步拓展業務掌管範圍,連數位金融以及金融科技的推動,也都成為他的核心業務。
基本上,在沒有內建資安的狀況下所提供的金融服務,無法贏得顧客的信任,劉培文認為,對於金融業的資安長而言,資安會是金融業務的促成者,「沒有資安的促成,就沒有讓人信任的金融服務存在。」他說。
資安長的百日維新
根據調研公司Gartner的「資安長前一百天藍圖(The CISO’s First 100 Days Roadmap)」研究顯示,資安長在任期中,不僅要與各種利害關係人做好溝通外,更把擔任資安長的前一百天,分成五個發展階段,不管是空降或是內升的資安長,都可以在這五個階段中掌握業務關鍵,扮演稱職資安長的角色。
-
第一個階段:準備,資安長最遲在上工前一天,就必須規畫好相關的角色職掌。第二個階段:評估,資安長就任的第一到四周,必須掌握企業內部的資安成熟度。
-
第三個階段:規畫,資安長就任的第三到六周,打造前一百天的工作藍圖。
-
第四個階段:行動,資安長就任的第五到十二周,針對現有的不足,做出一些可見的改善成績。
-
第五個階段:評量,資安長就任的第十一到十四周,提供現有資安流程的確有改善的證據。
對於劉培文而言,資安長的百日維新,是一個讓他熟悉金融業業務運作的階段。他表示,獵人頭公司從2016年7月開始跟他接觸,歷經幾次面試後,他的工作內容也從原本只管理資安,到後來同時管理資訊和資安;其他的,除了要求他必須在10月前,通過金融業對從業人員內稽內控的考試外,就沒有其他要求。
劉培文在11月30日正式上任,便擔任一銀執行副總兼資訊處長的職位,剛開始進來負責資安。
他花了三個月的時間了解金融業的資訊運作,也因應ATM盜領事件,針對銀行的資安架構做調整。當時他的想法是:銀行要有區域中心,資訊集中連回台灣,資安的長期發展上,則看海外發展需求是否要有區域資安中心。但關鍵在於,一旦要把資安架構移出總行,資訊架構就一定要改,包括海外分行的內外網,也必須做良好的切割。
不過,目前這樣的資安架構調整的規畫,還沒有實現。他說,光是網路架構調整就花兩年,之後,配合數安處成立,海外分行都必須架設內、外兩道防火牆,確保安全,相關設備都是從臺灣設定好之後,再協同相關的資訊服務業者,赴海外架設。
他也說,這段期間還忙著包括總行伺服器盤點和資安分級、分類,還有許多軟體授權到期的續訂,或針對不再提供更新服務的軟體做調整或升級,目的就是不能讓業務中段。
回顧第一階段,同時兼任資安處長的時候,他透過專業對話,針對資安架構的調整,都可以找同仁了解運作狀況,狀況並不複雜。但等到第二階段,劉培文雖然不需兼任資訊處長,但開始接觸數位銀行處的業務時,當時的數位銀行處屬於法金業務,後來才移到資訊管理中心統籌。
他說,這一年花最多的時間都在數位金融改造上,包括數安處成立,對他而言,數位金融的改造就是銀行業務改造的火車頭,因為直接和營運掛勾,也影響未來銀行的商業發展模式,對此,他也曾經撰寫數位金融轉型的萬言書,寫下他對數位金融的完整規畫。他表示,2021年數位通路交易量,已經超過臨櫃服務的黃金交叉,未來數位金融將成為第一銀行營運發展的關鍵。
接下來,他可以想像的未來,核心系統再兩三年後要調整,資訊架構可能要大改,他評估,光是銀行的數位轉型至少要花七年時間,核心系統改造也要五到七年,資訊、資安和數位金融的業務推動與改造,是一條漫漫長路。
過去的職涯發展都成為開花的養分
劉培文表示,過去擔任資策會資安所副所長,長期督導技服中心,因為技服中心需要協助政府參與各種國際組織,當時也擔任一些國際組織的資安工作小組召集人,也趁這個機會,認識許多其他國家,像是日本、新加坡和韓國做ISO國際標準的人,而這樣的經驗,讓他對於資安長期國際發展,標準發展趨勢等,具有很多優勢。
另外,他幫政府做國家資安規畫,因為參與相關的政策制定,清楚知道政府在想什麼,也能掌握未來政策發展方向,加上技服中心協助政府做很多資安事件的處理,看很多網路攻擊案例,這樣的經驗也讓他對於各種資安攻擊趨勢能有深刻體悟。
此外,擔任資安所副所長期間,劉培文也帶領科專團隊一段時間,讓他可以知道資安業界思維,知道廠商想什麼,產業實務需要的是什麼,各方面的整合經驗,也讓他從資策會到第一銀行後,可以順利無縫接軌。
進來一銀後,劉培文先兼任資訊處處長一段時間,了解實際業務運作,因為每年年底都要做高階策略會議,做完之後,經營計畫每個總行業管單位要做年度經營計畫規畫,光是臺灣就有187家分行,國外40多家分行,需要參加的會議,光是全球經理人會議,各種委員會,不管是總經理主持的,或是部門的月會、季會、資訊發展委員會,還是每週召開的常董會議,每個月召開的董事會,或是每兩週由董事長邀請副總召開的晨報等,種種的會議參與經驗,更讓他可以徹底掌握銀行業務發展的即時動態。
他認為,高階主管擔任或兼任資安長,透過參加各種會議,就有機會了解其他部門在做什麼,了解之後才會思考,他所管理的部門要參與哪些部分、可以做哪些改變。
他從資策會工作開始,到一銀工作後,參加各種會議、內化各種資訊,並轉換成部門工作需要的發展方向,這些經驗都是讓他面對職涯轉換,或是接觸不同業務時,可以無懼的養分。
資安不是真空存在,要跟業務系統連結才有意義
身為第一銀行資安最高主管,劉培文如何界定「資安長」的管理範疇呢?轄下管理的資訊、資安和數位金融部門,彼此又該如何做到緊密合作?他表示,針對各種日常維運作業,必須要清楚界定部門的角色和職掌,每一個部門做什麼事情、掌管哪些業務和系統,都必須一清二楚。但目前最大的困難在於,所有的銀行都在講數位轉型,包括資訊、資安和數位金融部門也都必須做到數位轉型。他說,想像一下,如果資訊、資安和數位金融部門是三家不同的公司,怎麼讓這三家公司緊密合作,就要互相知道彼此的業務部門主管和高階主管,都在做什麼、想什麼,才可能緊密合作。他認為,資安長要知道企業未來業務發展方向往哪裡走,科技會隨之怎麼改變,資訊系統又如何跟著改變,甚至連資安實務也必須有相對應的調整。每一個改變調整都環環相扣,絕對不可能關著門就憑空改變。他說:「資安不會真空存在,每一個改變都跟未來的業務發展方向有關,資安也要跟某一個業務資訊系統連結才有意義。」
熱門新聞
2024-12-16
2024-12-16
2024-12-16
2024-12-17