【臺灣資安大會直擊】合勤投控資安長游政卿分享6個轉化資安投資的策略

合勤投控資安長游政卿表示,資安必須成為公司的競爭力,他也提供6個轉化資安投資的策略,鼓勵企業企業願意加大資安投資的力道。

 

臺灣資安大會提供

【臺灣資安大會直擊】很多人認為資安是必須持續投入資源的工作,即便法令要求企業對資安要有更多投入,甚至規定某些企業必須成立資安專責單位並設立資安長,但資安部門對某些企業而言,還是必須持續花錢的成本中心。

合勤身為臺灣知名的網通設備業者,兼具網通產品的設計、生產製造、銷售和品牌,也是臺灣國防安全產業供應鏈業者之一,相較某些品牌產品代工的高科技業者而言,合勤投控資安長游政卿表示,「該公司很早就意識到,『資安』已經是該公司重要的競爭力。」

至於資安如何成為合勤的競爭力呢?游政卿也以自家公司的實際案例解釋一番。他表示,德國電信提供用戶使用合勤公司的路由器,但在2016年11月28日的時候,遇到傀儡網路Mirai造成的大規模網路故障,導致90萬個合勤的路由器故障,約占德國電信總體路由器的4.5%,該公司也為此支付一大筆罰款,並且需要投入大量資源修補故障路由器的漏洞。

為了修復產品的資安漏洞,合勤科技也在2017年4月, 成立PSIRT(產品資安事件處理小組)團隊,做到將資安內建在產品設計初期的Security By Design(產品安全設計)。政策生效,合勤科技則在2018年名列德國電信的四大優秀供應商,不僅獲得客戶信任,並對公司帶來實際的營收獲利,更讓「資安」成為與同業相比的競爭優勢。

也因為合勤科技有過血淋淋的親身經驗,游政卿也在臺灣資安大會的CISO Workshop中,分享他如何透過6種轉化資安投資的策略,成功將原本是「成本中心」的資訊暨產品安全部門轉型為「機會中心」,並且真正的把「資安」內化到公司所有的業務流程,成為該公司的競爭優勢。

公司資安投資多寡,奠基在企業經營階層的信任

游政卿表示,該公司在全球150個國家或地區,每年至少銷售二千萬臺設備,設備銷售數量越多,可以帶來的營收越高,而該公司在經歷德國電信路由器故障的事件後,對資安的投資也有更大的轉變。

他指出,許多公司的經營階層認為,資安投資是公司的沉沒成本,看不到投資績效,因此,更喜歡把資源投入IT,熱衷於數位轉型,可以為公司營運帶來可見的營運效益。

不過,合勤對資安投資的看法卻有所不同。游政卿以許多企業積極投入的數位轉型為例,其中就會遇到資料頻繁、廣泛、跨組織地流動,光是資料的安全性,就會面臨很多看不到的風險。不過,他說,安全是解決風險的狀態,但是在風險變成事實之前的損失很難評估,因此,大多數公司都把安全看作一種成本。

他也引述「2022 iThome CIO大調查」,2022年資安投資規模,政府和金融業的資安投資超過二千萬元,一般製造業和醫療業資安投資都低於五百萬元;但2022年各產業資安預算的成長率,則以高科技製造業成長6成最多,一般製造業也成長33%。

游政卿表示,經營階層對資安投資的看法左右一家企業的資安投資,最核心的關鍵在於「掌握資源的人為什麼要信任你?」因為有許多上位者感到困惑和沮喪,雖然熱衷於參與數位轉型,但對於晦澀難懂的安全術語以及無感的管理指標並不理解,所以就不願意投資資安。

另外,經營階層對於資安投入龐大,不僅覺得投入的資金如同石沉大海,更重要的是,認為資安價值無法轉化為業務語言:金錢來衡量;高層面對各種資安威脅時,並不清楚針對其業務的主要威脅有哪些,更遑論是否知道現有防禦強度或是必需進行的投資。

他表示,面對經營階層對資安種種不理解造成的惡性循環,資安長必須扮演一個折衝妥協的角色,獲得公司高層信任後,可以讓經營階層理解資安的價值,資安長則是公司內有能力處理風險的專家。他認為,資安必須以信任為基石,價值才能獲得認可;資安長必須具備處置風險的能力,能力才能獲得認可。

游政卿指出,要把資安從原本追求提高效率、降低成本的成本中心,進一步轉變成高效找出降低成本、增加效率的機會中心,最後再發展成創造營收的利潤中心,可以透過6種策略方式,轉化企業的資安投資進程。

策略一:運用商務表達方式,影響高階主管看法

游政卿坦言,你無法改進自己不知道和不理解的東西,所以,必須把資安變成大家都聽得懂、看得懂的內容,所以,他會利用每週的定期會議,不僅持續對高層宣導對資安的認知,也會針對其他業務部門和相關的利害關係人持續溝通,務必讓公司上下都可以意識到,資安是全公司共同努力的目標。

例如,為了確認董事會和經營階層的其他,他會因應公司營運發展需求,找出有利公司營運發展的法規遵循,例如:ISO 27001、GDPR、BSI TR-03148(歐洲資安iot符合標準)、CMMC 2.0(美國國防部資安成熟度模型認證)、歐盟ENISA、HIPAA、PCI DSS等,作為公司營運的參考指南。

另外,他也會透過參考政府監管單位所制定的政策方向,例如:行政院資通安全管理法、金管會制定的金融資安行動方案等;或者是檢視外在環境事件風險,希望可以透過態勢感知、戰術技術、行為分析以及威脅情資等方式,可以在資安事件發生前做風險評估,在事件發生初期就找到問題所在。

此外,游政卿也會透過一些內部系統,掌握包括公司網站、網域、內網等現階段的安全性評估,以及相關法規遵守的程度為何。

例如,針對公司官網進行安全性評分,並清楚在同業的網站安全性評分為何;針對內網安全,找出高風險和中風險的資安事件並予以修補。網域安全風險則分成五大等級,合勤符合第三級的規範:網域具基本安全度,已無網域伺服器預設配置上的弱點。其他像是CMMC 1.0版以及CMMC 2.0版的要求,合勤屬於1.0版的第四級、2.0版的第二級~第三級中間。

有系統數據的支持外,游政卿也說,還必須從商業角度證明,安全是創新中心。所以,他也從兩種層次來定義資安,一種是將安全分類,包括:邊界安全、終端安全、身分安全、應用安全、資料安全、安全管理以及安全服務等七類,並從價值描述、核心技術和解決方案來定義。

另外一種則是將法規遵循獨立出來外,其他則是採用NIST CSF框架,並加上設備、應用程式、網路、資料和使用者來做定義。他說,不管採用哪一種安全定義或框架,重點都是:制定安全政策和業務戰略的人,彼此是合夥人,才能真正把資安落實到業務流程中,

策略二:培養業務上的盟友

游政卿認為,資安是公司從上到下都必須一起努力的目標,所以必須創造資安被需要的價值,也必須在不同部門中,建立深層強韌的商務鏈結。例如,董事會負責公司營運與治理、資訊安全與機密資訊保護;業務部門則負責客戶開發暨業務推廣、供應商的資安評鑑。

南投搬家公司費用需注意的眉眉角角,別等搬了再說!上新台中搬家公司提供您一套專業有效率且人性化的辦公室搬遷、公司行號搬家及工廠遷廠的搬家服務

回頭車貨運收費標準,宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念

好山好水露營車漫遊體驗

露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製

網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

回頭車貨運收費標準,宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念

想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

節能減碳愛地球是景泰電動車的理念,是創立景泰電動車行的初衷,滿意態度更是服務客戶的最高品質,我們的成長來自於你的推薦。

電動車補助

其他的法務單位必須負責智權管理;產品開發部門則要落實產品安全管理;採購單位則必須承擔起供應鏈安全管理和外包產品安全;財務部門則要做到風險移轉管理。

至於資訊技術部門貫穿各個部門的業務流程,則必須提供兼具效率及安全的數位服務,所以合勤集團負責資安的20人,都是之前資訊部門最優秀的成員挑選出來的。

若以實際案例為例,業務部門負責客戶開發暨業務推展,合勤本身就是國防產業供應鏈的一環,目前最熱門的就是美國國防部推動的CMMC 2.0版的規範,「當CMMC 2.0版成為正式規範後,不符合相關資安規定的供應商,就不能成為國防產業供應鏈的一員。」他指出,像是合勤在進行風險評估時,也會採取美國SP-800-171第二版的規定,確保系統的安全性。

針對產品開發部門,游政卿說,為了做到Secure By Design,從產品構思開發規畫階段,到產品規格專案計畫階段、產品整合測試階段、產品試產階段、產品試出階段到產品結案階段,都會針對產品進行相關的資安測試並提供相關安全報告,驗證該公司的產品已經具備一定的安全性。他表示,這樣的作法也讓該公司產品,比其他同業產品更受到客戶肯定。

策略三:強調正面信息

面對過去三年的疫情,也造成很多社會和產業的不安定。游政卿認為,不管是面對疫情下的新生活,有越來越多遠距工作的需求,或者是越來越多的供應鏈攻擊,甚至是各種資料安全威脅、雲端環境威脅、勒索軟體攻擊,或是駭客利用各種漏洞發動攻擊等,這些帶著恐懼、不確定性和懷疑的負面訊息,企業都必須要轉換為對業務及利害關係人的正面資訊,並試圖找出安全與效率的甜蜜點才行。

他表示,身為公司資安長要做到讓業務、營運更安全,不會受到地區差異與外在威脅而中斷,企業對於資安推動才會更具信心,可以透過正面表列的方式,隨著時間和業務的推動,就可以做到確保風險和安全,並可以符合所描述的價值。

例如,要確保資料安全時,正面表列的方式就可以轉化成透過DLP「防止資訊洩漏」,透過PGP「防止資料修改」,透過VPN「防止資料洩漏」的方式,可以明確知道怎麼做可以有效確保資料安全時,企業內部也會更安心。;其他像是要確保身分安全時,就可以用MFA防止盜用及詐騙,用SSL防止盜用及詐騙。

策略四:量化安全提供的價值,取得客戶信任

如何量化安全,是所有企業資安長一直在努力的方向,游政卿認為,這可以從幾個方向來看,一種是,做好資安,可以幫公司省下多少錢;一種是,做好資安,可以幫公司增加多少營收;還有一種是,沒有做好資安,會對公司帶來多少損失。

以2018年5月25日在歐盟生效的GDPR(個資保護規範)來看,一旦違法相關法規,造成客戶個資外洩,歐盟裁罰最高罰金為2千萬歐元,或者是全球總營業額的4%,像是資訊服務業者亞馬遜就被罰款7.46億歐元、WhatsApp罰款2.25億歐元,其他像是服飾業者H&M也被罰款3,500萬歐元,航空業者英國航空則被罰款2,200萬歐元。游政卿表示,這些企業因為違反歐盟個資保護法規所遭到的裁罰,其實都是只要有做好資安,就可以幫公司省下的費用。

另外,游政卿也強調,營運中斷損失通常可以量化,但是機敏資訊竊取的損失,往往無法量化,像是,台積電在2018年8月因為勒索軟體造成停工三天,導致26億元的營運損失,這是可以量化的損失;其他像是金管會要求上市櫃公司發生重大資安事件時,都必須發佈重訊公告,這些資安事件如果造成營運中斷,也可以評估損失範圍。

不過,游政卿認為,量化資安還是需要有好的量化工具,該公司便採用資安風險量化工具(Factor Analysis of Information Risk Methodology,FAIR)模型,將業務運營中斷、勒索贖金、法律費用、名譽受損、法規罰金、個資外洩等都列入模型參數中,並評估會對企業造成多大的影響。他笑說,這個工具因為涉及法規在內,在合勤內部是提供法務長作為跟董事會報告的內容。

例如個資外洩項目包括:健康資訊(PHI)、個人識別資訊(PII)和信用卡資訊(PCI)等,預估造成的損失高達503萬美金,加上個資外洩每年發生頻率為20分之1,企業因為個資外洩遭到入侵的機率為1%,就可以透過這些數據,評估對企業造成的損失為何。

策略五:讓安全成為商務競爭差異化要素

德國是合勤很重要的市場,相關的法規都會影響到合勤的產品策略,像是德國便制定路由器技術指南Technical Guideline for Secure Broadband Routers(BSI TR-03148),提供路由器的安全級別,而所有在德國販售的產品都必須符合相關規範。

游政卿說,德國政府資安監管單位聯邦資訊安全辦公室(BSI)便在2018年11月公布,合勤的路由器符合相關安全規範,可以在德國市場販售;2022年5月則公布合勤兩款產品已通過BSI公布的Secure Broadband Routers(TR-03148)認證。

游政卿指出,傳統的資安任務是為了確保公司免遭駭客攻擊,但現在的資安已經成為擴大業務的推動要素,產品交付、成本、品質、服務、企業社會責任甚至是產品安全、資訊安全和供應鏈安全都已經包括在內。

他表示,把資安做好不只要內部員工配合,還包括外部客戶,為了把安全做好,有時候,資安長也必須具備公關的技能,要爭取更多資源、錢和時間投入資安,最好的情況就是,資安可以幫公司增加營收、把關產品安全性並降低違反法規遵循帶來的風險。

策略六:轉型為資安新創公司

合勤科技從2007年開始,就開始重視資安,有相關的資安事件,游政卿都會在第一時間通報給創辦人兼董事長朱順一,但當時的資安部門還是資訊部門內的一個重要的功能組別。

為了因應各種外部的資安攻擊與威脅,合勤內部也慢慢追查許多中繼站和駭客行為,同時為了企業內部營運需求,也提供許多資安服務,不管是網際網路資產暨曝險分析;弱點掃描、滲透測試、源碼檢測;Active Directory安全檢測;防毒、資安、網路設備日誌整合;Windows、Linux、MacOS和應用服務日誌整合;並提供包括:系統弱點、日誌、效能、系統組態、軟體資產等資訊收集器。

有這些資安服務的提供,游政卿也說,合勤也在2017年將資安部門獨立為一家專門的資安新創公司黑貓資訊,透過機器學習和威脅情報分析,對企業營運管理提供資安管理儀表板、攻擊軌跡追蹤和事件報告分析,最後從人員紀律、網路、終端設備和應用服務,執行資安防護策略並追蹤效果。

他表示,黑貓資訊成立SOC(資安維運中心),使用XDR針對電子郵件、端點、伺服器、網路及資安設備,蒐集並分析多個防護層的威脅偵測事件,提高IT系統維運、網路暨應用的管理效率,並做到提供自動偵測、關聯分析、威脅獵捕、根因分析。

另外,針對SIEM(資安資訊與事件管理),提供應用程序、系統、服務器等集中式日誌管理,作為整個SOC的技術骨幹,並進一步做到即時關聯分析、溯源調查與研擬對策;也成立專職的安全運營(SecOps)團隊持續監控、分析和回應安全事件。

游政卿強調,資安要做到老闆覺得「值錢」,讓老闆覺得每個階段都有被利用的價值,並且讓資安部門成為公司做生意和產品開發、法規規避最好的合作夥伴,企業就會更願意投資資安。

他也建議,資安長要學會將風險和安全服務情況以量化圖表展現,向董事會、經營階層呈現產品暨網路安全的價值,證明資訊安全確實值錢,透過威脅態勢感知去保護數位資產,利用業務發展推動去獲取競爭優勢,最後就可以做到真正的「資訊安全」。

https://www.ithome.com.tw/news/154104

您可能也會喜歡…