與業務單位密切合作的網路安全主管工作日常
未來屬於能調整目標並且配合業務風險認知的網路安全主管。以下提供邁向此目標的 8 個日常行動。
我在網路安全產業工作了 20 年。我從事的是技術端的工作,專門進行滲透測試和惡意軟體分析。我負責入侵偵測程式和資安部門的運作,同時負責確保所有元件都符合原則和合規性。我目前在 Tenable 擔任的職務是負責管理 40 種安全工具的廠商關係,我非常瞭解每一種工具執行的日常工作及其執行方式等細節。我可以列出過去 30 天在每個系統上修補的所有弱點。不過,每次我跟高階業務主管提到這個,無論是現在或在以前公司的工作,主管們都毫不在意。
無論如何,別人總是會簡單地問我一個問題:「我們有多安全或多危險?」面對這個問題,20 年來我都沒辦法說出一個有意義的答案。
今年年初,Tenable 委託 Forrester Consulting 針對全球 800 多位業務與網路安全主管展開研究,找出原因所在。這項研究獲得的結論如下:在資安主管可以使用的技術、流程、資料中,種種限制使得網路安全與業務之間長期存在斷層。
不過,若不考慮斷層核心中摻雜的人為因素,我們可能會被誤導。
業務思維是第二語言
資安長與其他網路安全主管是公司高層中獨特的參與者。我們必須同時流暢地使用技術與業務語言。不過,網路安全主管不像我們財務或銷售部門的同事那樣,可能擁有商業領域的碩士學位或其他類似的教育背景。許多網路安全主管擁有的是技術背景,例如電腦科學。我們通常依循企業內的技術位階升遷。當我們終於升上資深管理階層或高階主管的角色時,這一點會讓我們立刻處於劣勢。
因為,技術是我們的第一母語。我們所使用的工具與流程全都以技術語言為基礎,讓我們可以用母語清楚地表達。我們絕大多數勉強學會說起「業務這個第二語言」,不過斷層依然存在,部分原因是我們完成工作所需的工具與架構無法輕易翻譯。
在與 Tenable 進行的訪談中,全球線上旅遊平台副總裁暨資安長 Rick Vadgama 表示:「關鍵在於將我們從資安角度觀察到的現象翻譯成業務人員聽得懂的說法。多數 InfoSec 專業人員確實對弱點或攻擊程式非常精通,但他們不懂如何把這一切轉換成一般業務人員所能明瞭的語言。他們不知道該如何讓業務人員明白技術層面與業務層面的關聯。」
Vadgama 在大學時主修財務和會計,在職業生涯早期從事業務職務,後來發現這不是他真正想做的工作而轉換跑道,進入 IT 領域,他提到,自己多元的背景對現在的工作幫助很大。「我不只瞭解業務執行,我也懂財務。除此之外,因為我一路從 IT 的技術位階晉升上來並擔任過多種不同職務,我當過 IT 主管,是網路以及研發團隊的負責人,並對這些職務的情形有所瞭解。因此,當我進入資安領域時,我已經具備這些背景概念和認知,我知道該如何跨越技術人員和業務人員之間的鴻溝。」
對於循著技術職位升遷的網路安全主管,Vadgama 提出以下建議:「暫時離開資安部門,到別的部門工作一段時間,有了業務或部門運作的背景資訊與概念後,再重返資安團隊。」
一切都是日常工作
在 2003 年的一份 SANS 協會研究報告 就提到了這些今日依然存在的種種挑戰:「資安長的責任和其他公司高層不一樣,就連資訊長也沒有這種責任範圍。」
大多數資安長負責執行的工作中,SANS 的研究認為以下最重要:
- 擔任企業的代表,處理客戶、合作夥伴、一般大眾對於企業安全策略提出的問題。
- 與執法機構往來時擔任企業的代表,同時追查網路攻擊與員工偷竊資訊的源頭。
- 使用企業的策略業務計畫平衡安全需求、找出風險因素,並決定前述二者的解決方案。
- 制定提供充分的業務應用程式防護安全原則與程序,同時不干擾核心業務要求。
- 規劃及測試安全漏洞的應變措施,包含與客戶、合作夥伴或是一般大眾談論事件的可能性。
- 監管安全硬體與軟體產品的選擇、測試、部署、維護,以及監管委外的作業。
- 監管負責企業安全的員工團隊,從管理防火牆裝置的網路技術人員到保全警衛皆包含在內。
資安長角色的責任範圍之大,可能難以確定該從何著手,替一天的工作時間排定優先順序。我們大多偏好待在上述最後三點所代表的技術舒適圈裡,花時間為資安事端做好規劃,監管將資安事端發生機率降至最低的各項作業。
然而,待在自己的舒適圈內無法讓我們任何人更安全。Forrester 的一項研究「和業務單位密切合作的資安高階主管之崛起」發現,94% 的企業在過去 12 個月內都遭遇過對業務產生衝擊的網路攻擊,造成下列至少一項後果,包括:損失客戶、員工或其他機密資料;日常運作中斷;為勒索軟體付出贖金;財務損失或遭竊;和/或智慧財產遭竊。此外,絕大多數受訪者 (77%) 預估,網路攻擊在未來兩年內將會增加。
同份研究還發現,有 66% 的業務主管對他們資安團隊量化公司風險或安全程度的能力 (最多) 只有一點信心。
成為與業務單位密切合作的安全主管:8 個步驟
很顯然地,有些現況必須改變。身為安全主管,我們必須找出方法,改善與業務部門的合作。要做到這一點,就需要每天投入。必須注意自己排定時程優先順序的方式,確保您的作業安排讓您有充分時間專注在與業務部門配合上。
位於西班牙馬德里的 LafargeHolcim IT EMEA,其 IT 安全與内部控管主管 Jose Maria Labernia Salvador 表示:「成為和業務單位密切合作的網路安全主管最重要的條件,是實現業務價值並建立共同負責的合作週期。我們的使命和願景也必須跟業務單位相同,一定要建立互相信任的合作夥伴關係,彼此之間才會有直接溝通的管道。」
根據 Vadgama 的說法,設法在企業內部培養互信關係是一大關鍵。他在目前公司的工作崗位上有機會能參與企業的隱私委員會,藉此得以與法務部門的主管以及產品管理和工程部門的主管協同合作。但即使沒有正式的委員會,企業內部各團隊之間還是可以彼此聯繫、互通有無。
Vadgama 表示:「不只是跟 IT 團隊開會而已。工程與行銷和業務團隊還有其他團隊也必須參加會議,才能培養出這樣的關係。如此一來,當我們發現需要這些團隊出面解決的問題時,我去找他們,他們會跟我說『好啊,沒問題。交給我們來解決吧!』」
以下提供能夠融入日常工作的 8 個實務做法,讓您邁向與業務密切合作的未來:
- 每天花時間檢視貴公司的對外文件。留意貴公司高階主管透過財務報表、新聞稿、新聞文章、社群媒體網站以及產業論壇傳達的事項。
- 安排時間與業務單位高階主管共同瞭解他們的日常挑戰,建立友善的關係。學習他們的績效衡量方式。幫助他們學會將安全視為實現業務需求的助力,而非阻力。如此一來,他們就更有可能在制定策略計畫時提早請您參與。
- 培養實務知識,瞭解所處產業裡各個企業所面對的優先要務與挑戰。加入職業工會或其他專業人士的組織,閱讀專業期刊中企業對企業方面的文章,參加網路研討會與其他業界活動。如此一來,您將能掌握實用的詞彙與重要觀點,有助於自己調整安全計畫,更密切配合貴公司的獨特業務需求。
- 定期與公司高層主管會晤,善用會晤時間瞭解他們的顧慮。唯有瞭解更廣泛的業務痛點,才能開始全盤瞭解,明白「風險」對貴公司真正的意義。
- 善用每季業務檢討會議,當成主要的學習機會。仔細傾聽同事提出的策略型優先要務與問題點,並且思考造成影響的外部業務因素。留意每一位高階主管說明自己業務投資報酬率的方式,想辦法藉此調整自己的安全投資報酬率指標。
- 建立可靠業務顧問組成的人脈網路。與橫跨各個業務部門的導師互動,請他們提供指引與意見,幫助您改善溝通技巧,更擅長與業務部門互動。
- 與企業內的風險專業人員建立關係。網路安全既是一種特別的風險,也是所有其他業務風險情境的要素之一。找出自己如何有效參與企業風險管理策略的制定過程,讓網路風險成為其中舉足輕重的議題。
- 留意企業內部持續演變的第三方關係。您可能具有關鍵關係的實用知識,例如薪資處理廠商或企業資源規劃廠商。可是,您有多少能見度,有多瞭解貴公司網路團隊使用的工具和平台?換成為貴公司操作技術提供維護與服務的支援承包商呢?
抽空進行以上所有步驟,並且有效率地執行自己角色的所有其他層面,乍聽之下是難以實現的主張。您無法一次完成所有事情。請選擇一或兩個自己最認同的步驟,由此著手。
Labernia 提出的心法是:「從高層下手。業務主管通常在瞭解當今網路安全情勢的複雜性與風險後,都會非常樂於討論合作方式。然後再漸進式地去說服企業內的其他重要部門。不要先入為主地一概拒絕,瞭解狀況後再下定論。只要目標明確,總是能找到安全執行業務的方式。」
主動選擇踏出技術舒適圈,提升與業務部門的合作程度後,不只貴公司能夠受益,您本身的職涯也將向前邁進,準備好接下人人夢寐以求的「重要位置」,帶動業務風險策略的實施。
閱讀部落格系列文章:如何成為與業務單位密切合作的網路安全主管
本系列中的部落格文章著重於網路安全與業務密切配合的挑戰,以及網路安全主管為何難以回答「我們有多安全或多危險?」這個問題。我們也檢視了 COVID-19 應變策略反映出來的業務與網路安全斷層、探討何以現有的網路安全指標在溝通網路風險時成效不彰、探索與業務單位同步應採取的 5 個步驟,並讓您一窺與業務單位密切合作的網路安全主管如何度過他一天的生活。
深入瞭解:
- 參考更多研究重點,請按此處
- 下載完整的和業務單位密切合作的資安高階主管之崛起研究報告
- 閱讀部落格
- 下載白皮書成為與業務單位密切合作的網路安全主管,需要採取哪些行動
- 閱讀電子書如何成為與業務單位密切合作的安全主管
- 收聽 Cyber Exposure 播客系列「Tenable 安全長 Bob Huber 訪談」
- 歡迎檢視網路研討會和業務單位密切合作的資安高階主管之崛起
相關文章
- Vulnerability Management