即使是最精通技術的領導者也可以在公司和網路安全之間建立有效的聯繫——業務資安長(Business Information Security Officer,BISO)彌合了溝通的鴻溝,並充當了安全傳教士和守門人的角色。
文/Deb Radcliff‧譯/酷魯
在 Irina Singh 整個 IT 安全職涯中,她在接二連三的困難專案中茁壯成長。她擁有資訊系統管理理學學士學位和國際貿易輔修學位,目前在醫療設備公司美敦力(Medtronic)掌管一個專為四個基礎業務單位服務的業務資安聯絡窗口團隊。「我的團隊口號之一是,我們為業務導入安全,將安全帶進業務(we bring business to security and security to the business)」,她表示。
Singh 自稱為「業務資安合作夥伴」,但這個角色最通用的頭銜稱呼是「BISO 業務資安長」。具備這樣角色的人負責一或多個業務領域,他們通常根據網上找到的職位描述,以及本文所採訪多個來源提供的職掌描述,而隸屬在資安長(CISO)或技術長(CTO)之下。擔任這些角色的人也具有不同的教育和經驗背景,其核心能力包括高度熟悉相關法規之遵循,並具備紮實的網路安全基礎及商業頭腦。
[ 推薦閱讀:你可能不知道的 ChatGPT 六個事實 ]
「我畢業時正值 911 事件之後,當時工作機會非常少,我當時去了一家能源新創公司,並從零開始學習一切(包括如何從零開始打造電腦,管理伺服器和資料庫等等)。在那份工作之後,我轉而在一家《財富》100 大的稽核與會計公司從事 IT 稽核工作,並透過師徒制指導和訓練,讓我瞭解到我是多麼喜歡專案型態的工作,」Singh 說。
彌合安全和業務間的溝通差距
在《財富》100 大顧問公司所從事的諮詢工作中,Singh 稽核過一些首重 GLBA、PCI 和 SAS 70(其為 SOC II 的前身,她也十分在行)等稽核標準的金融機構。然後,她開始為一家大型健康照護 IT 服務集團工作,在那裡她也開始專注政府合規事項。最終,她去了美敦力公司工作,並在 BISO 此一頭銜有了官方正式的定義之前,她在該公司塑造了 BISO 的角色與職能。儘管她刻意避開業務資安「長」的頭銜,而自稱為業務資安「合作夥伴」,但她深刻體認到,她需要解決困擾許多大型組織已久的網路安全部門和業務部門之間的溝通困難。
「一開始,我把自己直接納進原有的安全部門之中。我盡可能參加每一回的團隊會議,瞭解他們的辦公文化和工作流程,這樣他們就可以把我視為既有安全團隊值得信賴的分支,」Singh 解釋道。然後,當需要指導企業利害關係人完成相關網路安全流程,或獲得高可見度的業務計畫優先等級時,她的資訊便深受好評。她還協助建立了一個用於報告和合規的風險儀表板,其中包括示第三方供應商風險、合規風險和併購風險等資訊。Singh 能夠跨公司各個業務部門複製儀表板。
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署?下載 CIO大調查報告 立即揭曉!]
兩年前,Singh 有機會將她的專案計畫擴展到四個獨立的業務部門。現在,她的團隊中有五名業務關係經理,他們與不同的業務和 IT 副總裁以及其他負責人合作,將他們的安全、風險和合規專業知識帶到檯面上。
「我曾聽人說,每個資安長都應該是 BISO。這在一個只聚焦在單一目標的小型組織中是可能的。但在複雜的環境中,資安長無法觸及所有層級的安全組織或每個業務單位。他們沒有時間對他們所在單位正在進行的每個專案進行技術培訓。這些問題在所有大型組織中都很常見,」她表示。「因此,BISO 必須建立雙方的合作關係。這是一個以關係為基礎的關鍵職位,需要同時瞭解技術概念和它們所支援的業務。」
BISO 需要瞭解業務特定風險
曾在幾家《財富》50 大公司擔任資安長的 Renee Guttmann 表示,她招聘 BISO 的前置重點工作就是 ─ 全面瞭解他們所支援的業務部門,其中包括確認公司的「皇冠寶石(crown jewels)」:其指的是公司最重要的資產為何,並位在何處,以及確認它們有哪些目標式攻擊的潛在漏洞。BISO 應該能夠識別出風險,並和架構及基礎設施管理人員等其他人合作,以確定風險的優先順序。當某業務單位想要啟動新的技術專案時,他們應該能提供專業服務的達人,如此才能儘早參與計畫,以確保該業務不致於獲得反而會意外招致攻擊的不當技術。
「如果你正在寫招聘 BISO 的職位描述,那麼就應該這樣寫:『請面向客戶端安全,』」Guttmann 指出。「我尤其需要確保我所雇用的 BISO,必須對他們將支援的團隊有所瞭解。如果他們支援財務部門,他們最好瞭解資產負債表、稽核規則、風險和控制措施。此外,該業務單位負責人必須參與 BISO 的面試和招聘,以確保 BISO 能支援他們職能的充份運作。
在一個案例中,Guttmann 描述了她如何聘請了一位具有「第一線」工作經驗的 BISO,他協助培訓一個企業溝通小組如何應對事件。小組裡的人認為他們知道正確應對安全事件所需要的一切。但後來,這名 BISO 在一場活動中讓他們對自己的實際期望大開眼界。她補充說:「公共關係部門的每個人都參加了這個活動,然後他們回覆指出,這是他們參加過的最吸引人的活動之一,他們學到了很多東西,因為這個活動完全是為他們準備的。」
停止有潛在風險的操作
BISO 還需要學習如何對可能存在危險的專案踩剎車。在一個案例中,當客戶想要為只需透過弱密碼存取的關鍵任務型資料庫部署遠端存取機制時,Guttmann 的 BISO 未能解釋他們無法用現有技術進行部署,而需要搭配諸如多因素身分認證等更安全的選項。「這個問題最終落到我的頭上,因為我的 BISO 與業務部門執行副總裁間很難溝通,」她回憶道。「因此,我為我的 BISO 們展開更多關於如何克服溝通困難並適時提出適當選項的培訓。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
根據 Guttmann 的經驗,就像在大多數會聘僱 BISO 的公司裡一樣,BISO 在取得他們所支援業位單位負責人的同意後會向她匯報。有時,BISO 會向 CTO 匯報工作,也有其他 BIOS 是直接向業務單位主事者匯報。
無論 BIOS 隸屬層級的結構如何,該角色對安全領導職能的運作非常重要,因此 WiCyS (Women in Cybersecurity community)網安女力社群組織下轄一個擁有 95 名成員的 WiCyS BISO 專門附屬單位。身為 Woebot Health 資安暨隱私長,WiCyS BISO 附屬單位負責人Barbee Mooneyhan 將 BISO 方法論納入了她管理安全和隱私的職掌之中。
小公司資安長也是 BISO
她身兼數職,因為她的公司規模較小,而且 Woebot 專注於透過具備用戶指引能力之人工智慧聊天機器人成為心理健康盟友,進而協助處理輕度至中度焦慮和抑鬱症患者。由於產品極具敏感性,她需要在保護客戶和使用者敏感資料的同時也能支援創新。因此,她會基於道德和合規性來與其他業務部門負責人溝通,尤其是在他們提出可能影響敏感資料的新想法時為然。
「我會刻意在我的安全角色中添增 BISO 角色,這在中小型企業中很常見。我花很多時間與我們的業務負責人和其他員工開會,以瞭解他們的需求,並就如何在遵守隱私法和道德義務的情況下滿足這些需求提供專業指導,」她補充說。「BISO 角色是一個迷人且絕對必要的職位,它可以讓企業勇往直前的發展。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)
