shin-lun tung (浮雲)

企業做好資安的幾個重要步驟(二)

二、建立一個安全團隊(Build Security Teams)

這邊會談二個問題,一個是資安預算的評估,另一個是資安團隊的建立。

(一)首先,是資安預算的評估

資安投資在哪,取決資產優先性,列出風險等級和發生機率的對照,排定保護的優先次序,有些資產攻擊風險高,但發生機率低,有些則相反,當企業對各資產的風險瞭然於胸時,就能決定資安投資的優先性。

當然不同產業別,對於所要保護的東西會不同,例如,電子商務業的交易網站是重點資產,駭客攻擊讓交易停擺,就是實質損失;高科技製造業看重的則是跟生產與智慧財產相關的IP和OT系統;電信業則是核心網路與客戶門號申租平台,如果發生問題可能直接影響民生所需。

至於資安投資比例的適切性,從國外文獻及業界實務經驗來看,資安投資比例佔整體IT預算的3~5%或4~6%是相對較為合適的比例,但仍須因產業是否易受資安威脅而有不同配置,如金融、電信、電商等數據敏感或監管密集的產業,則應投入更高的預算比例,可能須佔整體IT預算的10~15%。

(二)再來,是資安團隊的建立

這邊會談到一個企業建立資安團隊需要多少人? 以及資安團隊的架構與人才選用,至於公司資安人力不夠,就可以考慮委託外部專業資安業者的協助了。

資安團隊的人力配置,首要當然是符合法規的要求,不管是數位發展部頒布的「資通安全管理法」,還是金管會發布的「公開發行公司建立內部控制制度處理準則」,對於資安人員的配置都有規定。

另外,我依據二篇國外文章分別談到資安人員的數量,提供參考,當然組織規模的大小,直接與資安人員的數量呈正比。

(1) 2010年Forrester與北美及歐洲企業資訊安全決策者訪談後(2199位),提供企業資訊安全組織架構、安全人員配置等建議與指引:

  • 企業每500到750人可設置1名資安專職人員
  • 企業每1,500到2,000人,可設置1名資安專職架構師
  • 企業每5,000人,可設置1名IT風險專家
  • 超過4,000人的企業應有資安專責主管
  • 超過7,500 人的企業應有資安專責單位

其實當初我任職的公司,在初創建立整體資安組織架構時,相關配置的資安人員與這篇文章提到的比例還滿接近的。(我是先建立,後來才看到這篇的)

(2) 2022年1名從事資安工作者在寫的一篇Better Security文章中提到,此篇描述內容相較粗糙一些,但也提供大家參考:

  • 如果您的組織規模較小,只有 200 名或更少的員工,您可能只有1~2個 IT 員工,這些人就是您的安全團隊
  • 如果您的組織是中型的,大約 200 到 1,000員工,你可以請得起幾個專門從事安全的人員
  • 如果您的組織很大,超過 1,000 名員工,您需要中型組織所需的所有員工並將每個角色人員擴充,同時成立專門的藍隊和紅隊
  • 如果您的組織有超過 10,000 名員工,您可以成立安全運營中心(SOC)

至於資安人才的選擇,我個人的看法,最重要的是人品(誠信)、再來是態度、最後才是技術,其實強調的一點就是你不一定要找很厲害的專家(有時覺得找一張白紙來,再透過訓練培養,更能契合整體企業文化),而是要找誠信、負責、肯學習,並且認同你理念的人,這樣整體團隊的運作才會順暢,因為資安的問題是需要互相搭配,透過回饋不斷改善,才可以愈做愈好。

如果你擔心在人員培訓上花費大量時間與金錢,培養好了他又會離開公司,這樣好像很不符合成本效益。如果你是這樣的想法,那可能就需要調整一下你的心態了,因為現在的社會,你不能期待員工的忠誠,就連號稱最忠於企業的日本人,在一次國外調查中都出乎意料外的發現,只有40%員工選擇「我信任目前的公司」。

當你團隊的優秀人才決定要離開,一定是覺得委屈了,哪裡覺得委屈,我想不外乎是覺得薪資太低、未來沒發展、學不到新東西、團隊相處不融洽。有些事情不是你能控制的、有些情況可能他本身也有問題,但是個人覺得你至少可以做到下面幾項事情,來留住你的人才:

  1. 對於人才的重視,不是停留在口頭上,而是落實到關心人、培養人、造就人的具體行動上,例如「職業生涯發展計劃」就說明對他個人的發展是有重視的。
  2. 強調組織內部人際關係的親密、和諧,和則榮,不和則傷,而要達到「和」,正確運用語言顯得尤為重要,並建立一種「夥伴」型的工作關係,塑造「團隊協作精神」
  3. 薪資的問題,也許不是你個人可以決定的,但是至少可以做到一些事情,最重要的是與CEO及CFO打好關係,讓上面的人看到你們的表現,這樣當你想要幫同仁爭取不管是薪資、特別獎勵、績效等都相對比較有機會。

此外,如果你沒有辦法找到資安專家,或是你想自行培養資安人才,可透過培養「資安斜槓人才」的方式來進行,就是在內部招募資訊、網路領域之具有工作資歷且對資安有相當程度之興趣者,藉其在該領域的專業經驗,利用實際資安場域(如:執行資安專案),建立其資安專業經驗,成為資安斜槓人才。

【選才、育才、用才、留才】

最後來談一談資安團隊組織的建立吧,這還是從NIST-CSF框架的角度來看,個人認為會至少有下列分組,你可以參考看看:

  1. 規範制度組
    1. 遵循法規與國際標準
    1. 資安與個資隱私保護政策規範
    1. 資通安全組織與運作
    1. 風險管理與防護對策
  2. 資安防護組
    1. 網路安全防護架構
    1. 滲透測試與紅隊演練
    1. 營運持續運作演練
    1. 內外部遵循性查核
  3. 監控反應組
    1. 威脅情資分享及聯防
    1. 智慧化安全監控中心
    1. 安全性通報與處理
    1. 數位鑑識與事故處理

前一篇:企業做好資安的幾個重要步驟(一)

發表留言