iThome
【臺灣資安大會直擊】資安長難為,許多企業推動資安時,一定會遇到很多問題,從資源分配、組織運作、高層態度到人員的配合度等等,其中,組織文化甚至是企業推動資安能否成功的隱形關鍵。
現任鴻海研究院執行長李維斌日前在臺灣資安大會「CISO Workshop」分享時表示,對於所有企業組織而言,組織文化聽起來很複雜但講起來很簡單,其實就是「政治」兩個字足以囊括。不過,企業內的「政治」是可以做但不能說的一件事情,他希望將過往的經驗透過一個框架的方式分享給大眾。
李維斌坦言,企業內推動資安沒有順風順水的,往往是一把辛酸血淚史,像他本人也身兼鴻海研究院資安所所長,也被要求必須為鴻海集團的資安做出貢獻。他說,鴻海資安做的好,是因為背後有蘋果這個大客戶對供應商的各種要求,資安沒有做好就沒有訂單,所以,資安是一定要做好的。不過,他說,因為鴻海相關資安推動經驗,都有簽訂許多保密協定,他也很難對外分享。
不過,他提醒企業內不管是做資安或是做IT的人都必須意識到,凡是講到政治、企業組織文化等,這中間並沒有對或錯,只有立場不同而已;而每件事情背後的立場,都需要當事人自己體會和理解,不過,要將資安內化成為企業的組織文化,他也提供四個常見的方法,可以從中思考各企業可行的切入點。
方法一:把資安嵌入業務流程,才能改變老闆資安思維模式
要談企業內的推動資安的驅動力,李維斌說,每個人都可以捫心自問,企業組織內談資安,這是一種「感覺」還是「現實」?對許多資安從業人員而言,老闆談資安往往是憑感覺,但資安部門經常是看到資安對企業造成風險的現實。
他表示,當「感覺」(Feeling)與「現實」(Reality)兩者產生溝通的代溝時,這就是企業內資安問題的開始,因為,老闆覺得不安全,就會開始藉由各種設備採購降低資安風險,但所有人都知道,沒有人敢為某一種資安解決方案打包票、確保百分之百的安全。
因此,李維斌從個人自身的經驗分享指出,如何縮短老闆和資安部門對於「風險」認知的代溝,便是企業要能夠好好推動資安的首要任務,畢竟,兩者之間代溝越小、資安部門越容易做事,因此,資安部門便要思考,如何改變老闆對資安風險的思維模式(mindset),讓老闆成為企業推動資安的正面驅動力。
不過,要改變老闆對資安的思維模式、改變企業對動資安的組織文化,整個資安團隊還有很多事情要做。畢竟,現在因為網路威脅大增、企業符合各種法規遵循的要求也更加嚴格,但他表示,資安對很多企業而言,仍然是「講起來重要,做起來次要,忙起來不要」。
雖然,資安不是可以幫公司賺錢的業務單位,反而為了做好資安,還必須持續大量的資安,過去這二十多年來,企業整體越來越重視資安,李維斌以自身的經驗來看,「打不過它、就加入它」,只有把資安嵌入到業務流程中,唯有資安和業務兩者整合在一起,企業推動資安才可能成功。
李維斌認為,業務才是公司真正面貌,沒有真正改變公司業務,讓資安成為業務流程的一部分,就很難做到長久改變組織文化。
方法二:拉高資安長通報層級,能制定策略才有影響力
李維斌不僅是臺灣早期便深耕資安領域的學者,在逢甲大學擔任資訊處資訊長時,對外承接資訊專案、活化資訊團隊;擔任臺北市資訊局局長時,更負責臺北市「智慧城市」、開放資料平臺,以及智慧支付平臺的規劃推動;卸任後轉任富邦集團擔任銀行數位長及金控創新長,負責金融科技創新、建立生態系以及資料應用基礎建設的設計。
回顧過往的經歷,李維斌笑說,資訊長(CIO)越來越難混,不僅所有的設備採購要計算ROI(投資報酬率),加上管轄範圍除了傳統的IT系統外,也新增納管OT(營運科技)相關的工控系統;早期資訊和資安綁在一起,其實,在資安成為顯學之前,在主管機關要求設置資安長之前,資安其實也是資訊長掌管的範圍之一。
因為資訊長管理範圍越來越複雜,李維斌之前帶學生到工廠端針對OT系統做資安檢測時,都不能出任何一點差錯,一旦有出錯,再多的道歉都無法挽回工廠端OT系統出錯對公司造成的營運損失;加上臺灣有許多OT還是老舊封閉的系統,也有許多軟體漏洞沒有修補等資安隱憂在內。「除非是新建廠房,不然,要在工廠老舊工控系統端做資安,難度都很高。」他說。
至於資安長,李維斌認為,資安長管理範圍不只侷限在IT系統的安全,資安長應該去掉「i」,拉高思維層級,從資安治理的角度,把CISO轉變成CSO。
他表示,許多企業不容易接受新技術,往往會擔心東、擔心西,資安長要做到讓公司安心,讓組織有能力擁抱過去認為風險太高的機會,調和維持競爭力下的組織衝突,資安長不僅要有很好的說服力,還要做到當責。
要做到當責,企業資安長就必須具有一定的實權和影響力,李維斌說,最容易檢視資安長對企業的影響力,可以從資安長報告對象是誰來界定,假若,資安長報告對象是大老闆,不管是董事長或是總經理、執行長等,資安長在企業就具有制定策略的地位,也就具有影響力;但資安長若只是跟資訊長或其他CXO等高階主管報告,表示資安長還是扮演技術幕僚的角色而已。
方法三:將資安管理標準內化成企業組織文化DNA
以前資訊長談的是執行、分工合作,現在談比較多數位轉型;而資安長在臺灣是比較新興的職稱,從以前只談產品和技術,像是十幾二十年前,企業只有發生資安事件後才會採購防火牆;之後,企業開始引進資安管理的標準,例如導入ISO 27001資安認證,思維才逐漸從資安設備和技術層面,轉變到資安管理層面。
不過,李維斌認為,如果還是由資訊部門負責推動ISO 27001的話,表示資安還只是資訊部門的事情,只是一個部門的短期績效,並沒有改變組織文化。
他表示,導入資安管理認證標準要對企業帶來的改變,就要從資安管理拉高成為資安治理,讓資安標準內化成為全公司同仁的事情,更重要的是,藉由推動資安標準改變公司組織文化,讓資安成為組織文化的DNA。
方法四:做好資安是人人有責且賞罰分明,持續演練不可少
組織文化是一種慣性,有慣性就有效率,但時間久了可能成為惰性;而資安威脅充滿種種不確定性,需要的是一種可以針對風險臨機應變的能力。所以,李維斌表示,組織文化的慣性,如何和資安威脅的不確定性應對,就會是一種角力的過程。
慣性就是當物體抵抗其運動狀態被改變的性質,而質量越大、慣性越大,企業組織規模越大,形成的組織文化慣性越大,要如何避免慣性成為惰性,就需要藉由外力改變。
他認為,改變企業組織文化的外力,包含「上而下」、「下而下」兩種外力。所謂的「上而下」的外力,談的是老闆的期待,像是老闆對資安的感受,以及資安部門面對的資安威脅的現實,兩者中間的差異就是老闆期待值的落差。
至於「下而上」的外力,指的是一種從公司基層往上,對公司高層產生的刺激,但如何讓公司基層願意發動這種刺激,就需要創造讓業務單位願意為資安買單的情境。
因為業務是公司賺錢獲利的命脈,資安部門從傾聽業務單位的需求開始,慢慢將資安融入業務流程之中,然後就可以影響公司決策;當業務單位願意編列資安預算時,就是公司資安和業務單位達到雙贏的局面。
李維斌說,他在擔任臺北市資訊局局長的時候,就成立專案辦公室(PMO)去傾聽各個部門的需求,使用能引起共鳴的語言,雙方不必劍拔弩張,也不用專用術語迷惑彼此,更不必拿高階主管授權的尚方寶劍懲處員工。他認為,要做到業務和資安雙贏是很辛苦的一件事情,但不用腦筋就不可能達到雙贏的局面。
資安很重要,但很多時候老闆常常看不見,往往會認為資安是別人家的事;不然就是看不懂資安、看不起資安,更糟糕的是,真的發生資安事件,卻來不及做任何資安應變措施。
李維斌認為,要推動資安,就必須累積公司對資安高階主管的信任,不需要聲嘶力竭的說服,但是一個需要各種成功案例去累積信任的過程。所以,他說,資安推動不是默默行善,必須要敲鑼打鼓讓企業內同仁都知道,推動資安對企業帶來的成效。
此外,他也指出,資安推動應該要做到「人人有責、賞罰分明」,員工績效考評必須放入資安選項,大家才會認真看待;若發生資安事件也必須有相對應的處罰,全公司才會真正重視資安、覺得資安與每個人息息相關;更重要的是,資安演練不能省,唯有透過持續演練,才能將資安事件應變流程,內化成公司的業務作業流程。
如何將資安成為企業組織文化的一部分,李維斌認為,可以透過「借力使力」的方式,例如,企業如果發生資安事件,如果可以作為提升企業內部的資安意識,這樣的資安事件就是好事,畢竟,發生資安事件時,對資安部門可以是危機也是轉機。
再者,資安部門可以透過小步快跑的方式,邊推動邊調整資安作為;加上推動資安往往有很多的阻力,推動者也必須具備堅定的意志和謙和的態度,資安才能夠持續推動。
他也提醒,在企業內推動資安,不應該像是開罰單的資安警察,專門挑剔沒有做好的環節;而是應該透過各部門共同協作的方式,共同達成企業設定的資安目標。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19
2024-11-14