【臺灣資安大會現場直擊】美國資安顧問公司總裁：資安長的4大挑戰與建議

KLC Consulting顧問公司總裁暨資安長賴弘偉（Kyle Lai）在資安界工作25年多，不只在美國國防部和微軟、Zoom、波音、PwC等大型企業擔任資安顧問，也累積不少與財富500強企業資安長的交流經驗。他今日在臺灣資安大會上點出，資安長們目前面臨4大挑戰，包括領導決策、培養業務思維、風險管理，以及技術應用管理。

因應這些挑戰，他建議，資安長在進行領導決策和培養業務思維時，首先要與董事會立場一致、理解公司業務，特別是財務術語，再來透過合作，建立企業內強健的信任關係，並提供前後輩指導資源。至於風險管理，則要先理解法規、建立詳細的事件回應計畫、供應鏈風險管理計畫，而因應技術應用管理挑戰，則要緊盯新技術發展、與業務單位和IT單位的新技術應用緊密合作，並與廠商諮詢新工具，來更好地評估應用風險。

資安長面臨的4大挑戰

賴弘偉先是秀出一份2024年資安現況報告（State of Security 2024），該報告由美國資安公司Splunk發布，統計近2年企業最常遭受的資安事件，像是資料外洩（52%）、業務相關的電子郵件詐騙（49%）、勒索軟體（48%）和DDoS攻擊（46%）等（如下圖）。

「這份清單非常有用，」他表示，不只列出10多項常見的資安事件，也顯示資安長們的工作重心—防範這些資安事件。當然，資安長的任務不只防範問題，還包括其他形形色色的工作內容，如事件回應、建置零信任架構、法遵法規遵從、滲透測試、第三方風險管理等林林總總數十項。

其中，賴弘偉認為，資安長工作中所面臨的最大挑戰是領導決策、培養企業業務思維、風險管理，以及技術應用管理。

挑戰與建議1：領導決策

就第一個挑戰來說，「資安長是個企業管理職位，而非技術職位，因此資安長必須與董事會立場一致。」賴弘偉表示，資安長首先要理解公司的營運方式，也就是公司如何賺錢、靠哪些產品或服務獲利，以及公司有哪些客戶、如何與客戶溝通，此外也得掌握供應商資訊，如公司如何與供應商溝通等。「對公司業務有了基本理解，就能建立符合業務需求的安全流程，」他說。

再來，資安長必須要與公司內部關鍵的管理人員，建立強健的關係和信任，比如法律顧問、人資部門、財務長等。尤其資安長想推動資安意識培養或新政策時，人資就能協助傳遞這些訊息，而財務長則能協助批准預算，甚至能提供資安長更多公司營運的資訊。另外，與關鍵業務部門的負責人建立關係也很重要，因為，當他們想引進新技術時，資安團隊就能在第一時間給予協助。賴弘偉也表示，資安長也要培訓自己的團隊，讓成員不要經常對業務單位說不，否則「久而久之，業務單位會繞過資安團隊，讓你的工作更難執行。」

還有一種方法是建立前後輩指導資源，可細分為2種形式。一種是針對資安長們，如透過資安長社群資源，藉同儕交流來得到新狀況的解方；另一種是對資安團隊成員，提供指導資源，來讓團隊與時俱進成長。

最後一種方法是建立資安和學習文化。賴弘偉以自己為例，他在輔導美國國防部時，必須讓7名成員在90天內考取特定的資安認證，否則就會被辭退。為實現這一點，他們抽出周末來讀書、學習，最終在期限內達標，團隊的學習文化也因此建立了起來。

挑戰與建議2：培養業務思維

資安長面臨的第2大挑戰是商業頭腦，也就是要培養企業業務思維。賴弘偉給出3個建議（如下圖），首先是了解財務知識，尤其資安長是企業管理職，若參與董事會會議，就得花時間討論公司業務與財務，因此得先了解財務知識如損益表、資產負債表等。另一個建議是與業務單位討論時，不要使用技術詞彙，尤其是在會議中，資安長只有幾分鐘能表達，因此應開門見山、進入正題，並以白話方式與其他單位溝通。最後一個建議是認清目前的狀態與期望目標，並規畫實現方式。

挑戰與建議3：風險管理

風險管理是資安長的另一大挑戰。賴弘偉點出，資安長可從理解法規、建立資安框架和風險註記機制、制定詳細的事件回應計畫，以及供應鏈風險管理等4點來因應（如下圖）。

就理解法規來說，資安長得與法遵部門聯手，來找出影響網路安全的規範。再來，就建立資安框架而言，資安長可推動取得ISO 27001認證並遵循該方法，但若資安長任職的公司屬於嚴格監管產業，則建議使用美國NIST CSF網路安全框架。賴弘偉點出，該框架基於成熟度來劃分，且具備適當的信心結構，如此，資安長與高階管理層溝通時，使用該框架就會容易許多。

至於事件回應計畫，則得涵蓋軟體、勒索軟體和供應鏈等類別，比如遭受勒索軟體攻擊時，由誰來決定支付贖金、支付與否的政策為何、最終由誰支付等回應計畫。

最後，資安長得認識公司的供應商，「至少要了解保密性，比如公司與供應商交換哪些類型的資訊，以及可用性，比如供應商停工一周，公司能否承受此舉帶來的損失等問題。」賴弘偉表示，資安長可依此找出對企業至關重要的供應商，並派人去了解供應商的資安狀況，落實監管與合規。

挑戰與建議4：技術應用管理

對資安長來說，還有一項技術採用管理的挑戰。面對這個挑戰，資安長可密切關注新技術發展，比如近年興盛的生成式AI，再來是與業務和IT團隊緊密合作，尤其企業業務團隊一定會儘早嘗試這些新技術，因此資安長得在業務團隊嘗試之初，就加入業務與IT團隊的討論，及早辨識風險和漏洞。賴弘偉表示，若資安長在業務和IT團隊引入新技術後才參與其中，就會很難確定風險，並失去與開發該技術的供應商的談判優勢。

最後，他建議，資安長可與供應商討論新工具，來因應新風險。甚至，和資安創投交換意見也會有幫助，「因為他們對新創公司投資，勢必研究過特定領域和解決方案，」賴弘偉認為，這些資訊能幫助資安長更理解一家供應商及其提出的解方。

除了上述4大挑戰和建議，賴弘偉最後也補充，對資安長角色的監管法規將會出現，資安長也該向公司要求承保董監事及重要職員責任保險（D&O）來保護自己，如此就不必為每個決策過度提心吊膽。