原标题:微软亚洲首席安全顾问:企业提高资安防御应做这三件事
微软亚洲首席安全顾问Pierre Noel表示,解决资安的问题已经不是企业CIO的事, CEO也必须要具有资安战略的高度,才能够依据资安风险管理和评估的结果加以判断后,由上而下做好资安风险的管控,而不只是单单由CIO解决IT安全而已。
过去由企业CIO全权处理资安问题的作法,一直以来是许多企业为因应网路安全而採取的常见手法,由CIO主导,决定资安策略以后,再由旗下IT部门共同执行企业内部的资安防御策略。但微软亚洲首席安全顾问Pierre Noel却给出了不一样的答案,他说:「资安问题再也不是CIO的事,而是得靠CEO亲上火线才能解决。」
资安不再是CIO的问题,更得拉高到CEO的层级
过去为许多政府、金融与大型企业提供资安与风险管理已累积超过25年资历的Pierre Noel,日前来台时针对企业资安提出了他的最新观察。Pierre Noel表示,现在许多企业都把资安问题定调为IT职务的範畴,然后全部交由CIO和IT部门来解决,这件事在他看来,这是非常错误的作法。
因为,他说,现在许多企业在处理资安或网路安全(Cybersecurity)事件时,面对的不再只是IT安全问题,像资安风险管理和评估等也都是CIO必须要考虑的部分。
因此,「若只把懂得IT的CIO拿来负责评估资安风险,反而是用错了地方,将对的工作放在不对的职务位置上。」Pierre Noe表示。
Pierre Noel也强调,要解决资安问题,已经不是企业CIO的事,而是必须要拉高到CEO的层级,CEO必须具备足够的资安战略的高度,才能够综观依据资安风险管理和评估的结果加以判断后,由上而下做好资安风险的管控,而不只是单单由CIO解决IT安全那幺简单。
当然,一般而言,CEO对于资安专业的知识,通常并没有CIO了解的那幺多,所以还是得要经过CIO向上呈报后,CEO才能够依此来下达判断是否要提高资安投资。
但Pierre Noel直言,很多时候,CIO遇到重大资安问题而要向CEO说明时,往往会遇到另一个难题是,CIO不懂得用CEO听得懂的语言来沟通,以致于常常发生CIO讲得口沫横飞,但CEO听完后,还是无法确切掌握目前资安风险严重程度,也就无法下达正确的判断。
所以,比起将资安问题交由CIO负责处理,Pierre Noel建议,企业在解决资安问题时,最好的作法是不要再过度依赖CIO,甚至应该将原有的资安团队,彻底移出IT部门,而交由企业的风险长(CRO,Chief Risk Officer)或其他相似职位的主管来全权处理。
将资安团队设置在CRO底下,会比放在CIO之下还更合适的原因在于,Pierre Noel解释,因为CRO原本的任务就是负责管理公司营运风险,并要定期直接向CEO报告,所以当然能用CEO听得懂的语言沟通,才可以让CEO很快掌握全局;另一方面,由CRO主导资安时,也能考量到更广泛的安全风险层面,以做出更好的风险评估。此外,在将资安交由CRO主导后,CIO也能够专心做他该做的事。
不过,资安不能只单靠CIO来处理的另一个原因,也在于现在企业所面临的资安严峻考验,比起过去几年都还要高出许多,不只是资安事件层出不穷,甚至今年上半年全球就发生多起重大骇客网路攻击,造成的不只有大型跨国银行被盗转数千万美元、多家大型医院电脑都惨遭加密软体勒索大笔赎金,还有企业高达有数TB的内部文件全部外洩,就连美国政府军方和国防部也有数万笔资料遭窃。
企业提高资安防御应做的3件事
面对越来越多大量的网路攻击事件频传,甚至更多是来自组织犯罪(Cybercriminal)的骇客攻击。Pierre Noel建议,企业若是想提高资安防御的能力,应优先做到3件事。
首先是在企业内部应设有专门的资安负责人,才能落实问责的机制,以确保资安决策者每做出的任何一个资安决定,都能以保护企业安全为最优先考量。
其次,要建立一套资料保护分类(Classification)的机制,因为若没有完善的资料分类,企业根本难以得知机器设备保存的资料是否重要。一旦企业掌握清楚,就可以只专注在这些存放重要资料或文件档案的关键式系统,来强化安全防护,而不是一味地将所有无关紧要的资料都纳入保护的範围。
最后,企业也能从一些目前已公开取得的资安防御策略当中学习作法,例如澳洲国防部的35项企业资安防护步骤等,来建立一套专有的资安策略,并加以贯彻执行。
相关:
微软执行长Satya Nadella表示,未来微软手机业务将着重于安全、可管理及手机到桌机的连续性功能。微软仍会持续创新装置及所有行动平台的云端服务。 图片来源: 微软 微软进一步退守手机业务,继上周出售Nokia功能性
日本帝国主义殖民统治时期在韩日两国遭遇歧视而奋起反抗的团体相互交流的记录,25日入选联合国教科文组织世界文化遗产名录亚太地区版。具体记录资料,是提出废除白丁身份歧视于1923年在广尚南道晋州设立的社会运动团
在海外著名的芭蕾舞团中又诞生了一名首席舞蹈演员。据舞蹈界透露,22日美国波士顿芭蕾舞团的独舞演员韩瑞惠(27岁?照片,音译下同)在结束《天鹅湖》的演出后,从米克?尼斯恩团长那里得到了晋升成为首席舞者(Principal
微软释出商用版Skype开发包,开放第三方App整合Skype功能
图片来源: 微软 微软于日前释出商用版Skype App(Skype for Business App)SDK开发包预览版,允许开发者可以整合Skype的即时通讯、语音和视讯等功能至自行开发的行动应用程式中。另外,商用版Skype App SDK预览版已经
正当网际网路成为国际恐怖主义或极端分子用来宣传其思想与招募新血的重要管道之一,微软(Microsoft)上週揭橥一项新政策,将在旗下的消费性网路服务中,移除被认定有鼓吹恐怖主义之嫌的问题内容。微软将在其营运的Xbo