安全長是負責企業整體實體與網路安全狀況的高階主管,要能對企營運風險綜觀全局。
文/Josh Fruhlinger‧譯/柳百郁
安全長是負責資訊安全、企業安全,或以上兩者兼具的部門領導者。當有人問到:「什麼是安全長?」時,以上是最簡單的答案。美國CIO雜誌編輯 Derek Slater 曾在2005年回應這個問題:如果有能夠讓人信任,深入闡述何謂安全長的專業網站,那麼非 CSO online 莫屬。當然,很難簡單用一句話就能完整涵蓋安全長這樣複雜的工作內容,同時也不是所有擁有安全長職銜的人都肩負著同樣的職責。
CSO的定義為何?
安全長 (chief security officer, CSO) 這個職銜,最初主要是在資訊技術部門裡,被指定負責IT資訊安全的主管。在許多企業裡,目前安全長這個詞仍然代表著這個意思。而用資訊安全長 (Chief information security officer, CISO) 或許更能精確描述這個職位,但時下資安長職稱變得較常指向專注在電腦資訊安全的主管。不過這兩個職位之間的區別,不見得立即就能一目瞭然,稍後會有更詳細的介紹。
有某些企業的安全長職銜也用來描述「企業安全」職務的主管,其工作內容包括實體安全與員工、設備與資產的安全保障。較為常見的是,該主管擁有副總裁或企業資安總監職銜。從過去的紀錄來看,企業安全與資訊安全一直都由個別(且時有不合)的部門掌控。
[ 2022年度CIO大調查報告下載 ]
漸漸地,安全長代表的意義聽起來像是:安全長是負責企業組織實體與數位兩者整體安全狀態的高階主管。安全長亦經常掌管或密切參與相關領域,像是企業營運永續性規畫、損失預防與防止詐騙以及隱私權保護。當然,在實際狀況裡,有許多不主動挑起這兩個領域重擔,但卻擁有官方安全長職銜的聰明人。只是,若執行長有財務上的任何問題,他會預期「財務長」能夠回答,或迅速找到答案。所以,當「資訊長」用「啊,那不是我的問題,是由別人負責的」這種態度回答資安問題時,對執行長而言,這樣的訊息代表此人其實並非擁有綜觀企業營運風險全局的那個主管。
且讓我們跟著一些實際從事這項工作的主管,以及曾經協助雇用他們的高階主管,深入瞭解這項職務的內容。【編按:必須先與讀者們聲明,本文中不會另外解釋何謂策略長 (Chief Strategy Officer),而這個職稱與安全長採用了相同的英文字母縮寫。】
安全長是做什麼的?
Relativity公司安全長 Amanda Fennell 對成為安全長的必要條件,提出了高層次的見解。Fennell表示,現代的安全長乃是企業組織的開拓者與解決問題的人。他們與不同功能的IT團隊與工程團隊密切合作,才能在快速變遷的法規遵從與管理領域上,預先設想、擬定策略並實施多元化專案。
這種解釋挺有趣的,不過可能有點抽象。安全長實際上的工作職責究竟是什麼?簡單地問:安全長倒底是做什麼的?Sungard AS 公司安全長 Shawn Burke 表示,其主要職責為建立企業願景、策略與專案,以保護員工、資訊資產與技術。最終,安全長有責任,確保安全部門能夠對企業組織提供價值。
他們都認同的是,安全長的首要任務,就是必須為公司建立方向,將資訊安全視為策略性資產與部分任務,而非只是事件發生後的檢討,或損害控制方案的一部分。YL Ventures營運夥伴暨Akamai前任安全長 Andy Ellis 認為,實施風險管理技巧是達成這個目的其中一個方法。Ellis解釋道,在考量企業整體風險時,安全長必須權衡兩項重要投入:在時間與金錢上要耗費多少成本才能修復,以及修復風險可獲益多少。通常除了降低風險,也可能附帶產生企業效益。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
Ellis將風險畫分成四大象限:
- 低成本、低收益的變革要求:最高階主管不該直接處理這部分,他們該做的是建立能夠解決這些範疇內問題的健全流程。
- 低成本、高收益的意外事件:任何修復成本低的高風險危機,都應該盡速處理。安全長可能必須協助釐清行動步驟,有必要時甚至要呼籲採取毀滅性事件處理程序,繼而改善程序,避免類似衝擊。
- 高成本、低收益的環境危害:此項代表的是執行業務的成本。安全長必須在不值得修復時進行評估,並讓董事會管理層參與評估過程。
- 高成本、高收益的重大風險:這方面,安全長必須花費相當多精力,處理不會有輕易解決方案的高衝擊風險。Ellis表示,在只有小部分風險被處理好的時候,高階主管團隊很容易自欺欺人,相信風險已大幅緘緩。然而,確保持續專注於減緩風險上,即便得花上好幾年時間處理,正是安全長的工作。
安全長 vs. 資安長:不同職稱裡的意涵有何異同?
緊接著討論的議題是,安全長 (CSO) 與資訊安全長 (CISO) 之間的差異為何。假使在市場上有一套明確規定,能夠詳細說明安全長做這個而資安長做那個,那就好辦多了;但事實上多半沒這麼簡單。正如DocuSign前資安長,如今擔任OneLogin信任暨安全長的 Vanessa Pegueros 所說:「在職責上,兩者的差異程度很高,必須確實個別詢問每個人才能瞭解。而這僅是不再有嚴格的定義罷了。」就如之前曾提及的,傳統資安長角色主要著眼於IT安全,而安全長則有更廣泛性的職權範圍。不過Netenrich公司安全長暨安全策略主管 Chris Morales 認為,隨著萬物均連接上網際網路,中間也出現了一些聚集點;因此就連資安長也必須開始考量實體層面的影響因素。
YL Ventures 公司的Ellis表示,想要瞭解安全長或資安長在企業組織裡究竟扮演什麼角色的最好方式,就得觀察在同一企業組織下現有的其他類似職位。若在該企業組織下沒有其他高階主管的安全功能角色,就找找看企業內部負責安全控管角色的各個協理與副總裁。通常,在資訊長下可能有一名IT資安長,與機構組織內的企業安全總監。這可能代表,其他地方的安全長較偏向企業整體營運的管理與監督功能,但不主導IT或機構的營運作業。
請留意,雖然本文中多半採用「安全長」這項職稱,但文中提及的大部分職務工作內容,仍多半以探討資安長的工作任務為主。
如何成為安全長?
LaSalle Network 技術招聘小組主管 Paul Wallenberg 曾協助人資單位招募企業安全長,並嘗試描述企業在實際招募安全長時對人選資格的要求。Wallenberg表示,企業首先要找的應該是廣泛涵蓋安全方面技術性與功能性能力,並具備有業經證實業績記錄的人選。安全長可以來自於先前具有擔任工程師或架構師工作經驗的技術背景,處理的工具與系統包括時下的各種安全性專業項目,像是SIEM、身分識別管理與威脅情報;也可以是來自管理負責這類專科的安全專家,並且個人經常參與管理、風險與法規遵從方面等功能背景。也有部分產業會偏好具有白帽或道德駭客心態的安全長。當然,候選人最好在企業高階主管所處的圈子裡擁有豐富經驗。Wallenberg認為,安全長必須表現出已晉升安全部門位階,或在大型企業裡曾參與安全性專案,與影響應用程式、基礎架構與外部威脅的舉措。另外還要再加上對業界廠商的人脈經營,以及與情報界及學術界的聯繫能力。
不過,安全長必須證實自己具備超越特定技術與工作範圍的能力。Relativity的Fennell表示,安全長必須了解錯綜複雜的企業戰術目的,對如何有助於全面保障企業組織策略實施有所理解,同時重視隱私權,並取得企業內部利益關係人的信任。雖然技術背景在制定知情決策時會有大幅幫助,但具備解決伴隨資訊安全發生種種難題的熱忱也不可或缺。
Sungard AS 公司的Burke補充說,近來可以發現到原本只專注在技術細節與方向的安全主管,開始變得更偏向營運面導向。雖然安全長一直都應該具備技術能力,但也要能夠有條理地向利益關係人解釋本身工作的各個面向,像是風險管理的方式。在本質上,安全長必須是高階主管能夠信任的顧問。而這也只有在安全長展現出良好人際關係與領導技巧的情況下,才能辦得到。
目前許多公司企業還沒有設置安全長職位,這也創造出員工邁向高階主管的空間。Wallenberg表示,在安全管理隸屬某部門管理範圍,而非獨立部門的IT環境管理時,會被設定扮演安全長角色的那類人選,必然是對企業組織安全有最深刻瞭解的人 。就外部候選人而言,通常會看到位居安全架構師級別的人選,或者涉及安全專案與基礎架構的主管或副總裁等級人選。
安全長該向那位高階主管報告?
在 IDG 2020 Security Priorities Study 資訊安全調查報告中,有近半數企業安全主管會對企業高層主管報告。其中有34%是由最高安全高階主管向執行長報告,另有12%直接向董事會報告。同時,有33%最高安全執行管理高層是向企業或部門資訊長報告。其餘則四散在各種不同獨立部門下,例如向風險長或總顧問這類高階主管報告。小型企業傾向於扁平式組織安排可能也不令人意外:研究報告發現,中小企業中有59%最高安全高階主管是向執行長報告,而在大型企業裡僅占22%。Domo公司資安長 Niall Browne認為這兩種安排各有優缺點。將安全長置於資訊長位階之下,有助於確保技術布達模式一致,但也可能出現權責畫分問題。
Browne認為,若安全長直接向執行長報告,主要優勢就是安全長具有較高級別,能影響變革的推動。另一方面,因執行長職責範圍極廣,能留給安全長的時間也相當有限。
事實上,有愈來愈多安全長開始與更高的企業權力層級─董事會打交道;要嘛直接向董事會報告,再不然就是以高階主管身分,定期與董事會面對面交流。OneLogin的Pegueros認為,是時候讓安全主管進一步成為主動參與者與高階主管團隊成員。企業面臨的安全相關問題不再必須等到一個月或一季才報告一次,它們需要每天被資深高階主管聽到相關建議。
不意外的話,另一個有趣的關聯是:在最高管理階層當中有安插耳目的安全高階主管,更可能贏得較大宗的安全用途IT預算;這在美國CIO雜誌之前所做的2019資訊長調查報告中即已明白指出。在安全性IT預算花費少於5%的公司企業,安全長向資訊長或執行長報告的可能性也一樣;但花費10%或更多預算在安全功能上的企業,安全長向執行長報告的可能性幾乎是兩倍。在高階安全主管職銜為資安長的企業中,這樣的效應更明顯:IT預算花費少於5%的公司企業裡,僅有3%資安長是向執行長報告;而IT預算超過10%的企業,則有26%的資安長是向執行長報告。
無論最終安全長是向那一位主管報告,利用高階主管能理解的語言表達,才是有效的做法。Abnormal Security 公司資安長 Mike Britton表示,安全長必須透過某種方式建構對話與契機,也就是以高層能懂的商業術語,表達董事會與高階主管制定決策所帶來的可能性與影響:像是安全危機對營收的影響、失去客戶的影響、商譽的損害、法規影響等等。
LaSalle Network 的Wallenberg認為,想要確認安全長人選切合企業需求的話,高階主管團隊應當全員都參與雇用選拔流程。與職務候選人互動最頻繁的,則是企業營運長與資訊長,他們理當密切參與這場面試選拔。
安全長職務說明範例
安全長將監督與協調整體企業安全任務,包括資訊技術、人力資源、通訊、法律、設備管理與其他相關部門,還要確認安全防護措施與制訂標準。候選人包括資訊安全長與企業安全暨保障總監。
職責:
- 領導營運風險管理各種任務,提升企業與品牌價值。
- 能夠綜覽與管理各部門安全總監及外部廠商,共同保障企業員工與訪客實體安全,監督保障公司資產、智慧財產權與電腦系統。
- 確認與公司策略規畫一致的安全保障目標、目的與績效指標。
- 管理企業的全球安全性政策、標準、指導方針及流程的開發與實施,以確保持續進行安全的維護。實體保護責任包含資產保護、職場暴力防治、存取控制系統、影像監控等。
- 資訊保護的責任,包括網路安全架構、網路存取與監控政策、員工教育及安全意識培養等。
- 會同其他高階主管,依據風險管理與金融管理辦法,制定出安全措施與經費使用的優先順序。
- 與當地、國家與聯邦法律執行單位及其他相關政府機構維持良好關係。
- 監督事件反應規畫與資安外洩調查,必要時協助處理此類外洩相關的罰則與法律事務。
- 視情況與外部顧問合作,進行獨立的安全稽核。
資格條件:
- 必須成為足以在資深管理團隊發揮作用,且能夠與廣泛的技術與非技術人員溝通安全相關概念,是一位智慧型、辯才無礙又具說服力的領導者。
- 具備營運永續性規畫、稽核與風險管理,以及合約制訂與廠商協調的經驗。
- 必須對相關法令與執法單位圈具深厚的相關知識。
- 必須對資訊技術與資訊安全有紮實的理解。
安全長薪資該怎麼開?
企業高階主管之間的薪資差異相當大,端視行業、公司、人才經驗與任期而定。不過至少能提供可以期待的約略估計為:
- 據Payscale網站數據分析,安全長平均薪資為$147,802美元,範圍自$74,000到$230,000美元不等。獎金與分紅通常已計入此範圍,不過還有可能另外增加約$100,000美元的額外報酬。
- 據Salary.com網站的統計,企業資安長平均薪資為$223,854美元,金額多半在$169,621到$290,114美元之間。
Abnormal Security 公司的Britton表示,理所當然地,安全長實際薪資會視工作確切內容而定。範圍更大的職責代表了更高的收入,而如果另加上實體安全保障與業務永續性這些功能需求,就會是加分的助力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
