法律疑慮、合規要求、董事會層級的審查以及持續的工作壓力將使 2024 年成為 CISO 資安長充滿挑戰的一年。
文/Jon Oltsik· 譯/酷魯
對資安長而言,2023 年是艱難的一年。該年 5 月,前 Uber 資安長 Joe Sullivan 被判處三年緩刑,並處以 5 萬美元的罰款。Sullivan 未能揭露一起資料外洩事件,還付錢要求駭客保持缄默。Sullivan 不服判決已提起上訴。
該年 10 月,IT 管理平台供應商 SolarWinds 資安長 Tim Brown 遭到美國證券交易委員會(Securities and Exchange Commission,SEC)起訴。Brown 被指控詐欺和內部管理失職,其罪行與據稱已知的網路安全風險和漏洞有關。根據 SEC 的聲明,「有投訴指稱,SolarWinds 關於其網路安全實踐和風險的公開聲明與其內部評估相互矛盾,包括公司裡的一位工程師在 2018 年準備的一場簡報,此簡報已在內部共享,其中包括分享給 Brown,簡報內容指稱 SolarWinds 的遠端存取設置『不是很安全』,並且利用該漏洞的人『基本上可以在我們沒有發現的情況下,做任何事情,等到發現時,一切都為時已晚』,這可能導致 SolarWinds『聲譽和財務的重大損失』。」
[ 熱門精選:網路攻擊加增!資安長角色急轉彎!如何樹立一個強大合規文化? ]
該年 12 月,號稱世界第一位資安長的 Steve Katz 去世。Katz 在 1995 年首次擔任花旗集團資安長一職,隨後在摩根大通(JP Morgan)和美林證券(Merrill Lynch)工作。據資安新聞網站《BankInfoSecurity》的一篇文章指出,Katz「退休後的大部分時間都在倡導網路安全標準、資訊共享和有效領導」。
除了這些人的經歷之外,資安長們在 2023 年還面臨了一波新法規,2024 年還會有更多新法規上路。SEC 新的網路安全規定要求所有在美國上市的公司都必須通報網路事件。美國境內上市公司必須在四天內揭露重大網路安全事件,並在 8-K 表格(Form 8-K)檔中進行申報。私人外國上市公司必須提交 6-K 表格檔,以揭露重大網路事件。眾組織還必須在其董事會、文件的風險管理計畫與特定網路安全領導力的領域裡安插網路安全專家。
金融服務公司還面臨著紐約州金融服務署(New York State Department of Financial Services,NYDFS)《23 NYCRR 500》網路安全法規的變更,其中包括對較大型公司的新要求、對董事會的擴展治理要求,對網路事件通知的擴展,對事件回應和業務永續性規畫的新要求,以及額外的多因子認證(Multi-factor authentication)要求。在歐洲,《第二版網路及資訊系統安全指令》(Directive on Security of Network and Information Systems,NIS2)將於2024年10月生效。《第一版網路及資訊系統安全指令》(NIS1)涵蓋了醫療保健、能源、交通、數位基礎設施或金融市場基礎設施等關鍵產業,未來受 NIS2 影響的產業將擴大到食品部門(生產、加工和分銷)、社交網路服務平台、雲端運算服務和資料中心。NIS2 側重於四個主要領域:風險管理、企業責任制、通報義務和業務永續性。在更精細的層面上,NIS2 影響了使用加密技術、漏洞管理計畫、員工存取敏感資料、多因子認證、評估安全技術效能、員工培訓以及保護其供應鏈的政策和程序。
資安長正在努力應對新的法律和監管挑戰
資安長如何應對法律審查和監管監督的衝擊?事實上,並不太好。根據 ESG(Enterprise Strategy Group) 和國際資訊系統安全協會 (Information Systems Security Association,ISSA)最近的研究,62% 的受訪資安長聲稱他們在工作上有一半的時間是感到有壓力的。尤其對下面幾項特別明顯,像是工作量過大、與不感興趣的業務經理合作,以及跟上新業務計畫的安全要求。此外,36% 的資安長表示他們極有可能或可能在明年離開目前的工作,而非資安長的這一比例為 26%。許多資安長(46%)考慮完全離開網路安全領域,而非資安長的這一比例為 28%。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
為什麼資安長會想要放棄並離開網路安全?65% 的受訪者表示,由於與網路安全工作相關的高壓力,他們曾考慮過退出,43% 的人聲稱他們感到沮喪,因為他們的組織沒有認真對待網路安全,39% 的人表示他們接近退休年齡,並將在退休後,離開網路安全專業領域。
2024 年是資安長變革之年
有鑑於對這個職位的壓力和日益增加的審查,我相信 2024 年將是資安長的一年。明確地說,我並非在說一些「資安長萬歲」之類儀式性的陳腔濫調。我的意思是,各個組織和整個商業世界將在 2024 年會更進一步地審視、實驗,並最終修改資安長的角色,此一幅度將遠遠超越過去任何時候。
以下是對 2024 年的 5大預測:
1. 可聘僱的資安長將嚴重短缺。
正如 ESG/ISSA 研究所指出的那樣,許多受夠了的資安長將毅然決定退休,而其他人將成為虛擬資安長(virtual CISO,vCISO)或出任安全技術供應商的現場資安長(field CISO)一職。我們將看到許多有關資安長一時興起突然辭職的報導。雖然確切原因可能不會被公開,但你可以打賭,他們是因為上述提到的原因之一而離職的。至於合格的資安長的遴選將更為激烈。順帶一提的是,我不認為會有大量下一代資安長候選人是因憑藉豐富的經歷而被拔擢上來。2024 年,我們將在關於全球網路安全技能短缺的一般性討論中,增加一份有關資安長短缺的具體附錄。
2. 資安長薪資與津貼將急劇上升。
除了少數幾個年薪百萬美元的職位外,資安長的薪酬並不像人們想像的那麼高。Salary.com計算出的薪資中位數約為 24.1 萬美元,其中高達 90% 資安長的薪酬為 30.2 萬美元或更低。考慮到工作要求(長時間工作、壓力、隨時待命等),這並不算多。隨著候選人的競爭,企業將大幅提高基本工資、津貼和獎金,導致資安長的薪水中幅上漲。哦!不僅如此,隨著產業中法律糾紛變得頻繁,資安長將要求薪資必須包含足夠的董監事暨重要職員(Director and Office,D&O)責任保險。
[ 熱門精選:精鍊 AI 生成:5 種部署自家大型語言模型(LLM)的有效方式 ]
3. 資安長的股權和獎金將受到更嚴格的審查。
儘管我們希望資安長堅守道德高點,但如果其報酬或手中持股對其工作產生影響,那麼一些資安長有可能會受到誘惑而走偏鋒。這時,揭露資料外洩或過度的網路風險可能是正確的做法,但這也可對資安長私人的遊艇採購計畫造成影響。
因為透明度和公開揭露這些問題可以幫助公司和客戶更有效地應對潛在風險,並採取適當的措施加以解決或預防未來的安全問題。雖然揭露這些問題可能需要勇氣和責任感,但對於保障資訊安全和公司信譽可能是必要的行動。是的,資安長應該是團隊中的一員,當其組織繁榮時,他們跟著受益,但他們的津貼應該與強大的風險管理、安全效率、營運效率和業務賦能緊密相關,而不應該和隨機的華爾街指數波動有關。
4. 更多的資安長會直接對 CEO 執行長負責與彙報。
根據 ESG/ISSA 的研究,將近一半(49%)的資安長向 CIO 資訊長或其他資深 IT 人員彙報工作,有 24% 的資安長則直接向執行長彙報。向執行長彙報的資安長主要在規模較小的企業組織工作。2024 年,由於整體法律和監管方面的考量,資安長將遊說並推動彙報直屬結構的變革。新任資安長將拒絕向IT彙報的工作邀請。資安長還將希望建立網路安全委員會,直接向董事會彙報網路風險管理和監管合規事宜。
[ 熱門精選:AI 時代 網路安全角色的演變與招募重點 ]
5. 資安長將要求更好的事件應對計畫。
當涉及到一些新法規時,資安長不會容忍「勾選式」的準備作業。相反的,他們將要求桌上模擬練習、滲透測試、紅隊演練、安全事件應變服務(IR retainer)和網路保險覆蓋。他們將仔細審查升級流程、內外部通訊以及業務管理的個人角色和責任。同樣的,雖然這些活動應該是司空見慣的,但通常實施的頻率與次數會被降到最低程度。網路安全的責任應該止步於資安長的辦公桌,但沒有一位資安長會容忍成為法律替罪羔羊。
對於向大眾公告的內容,資安長也希望能有更多的了解與參與。他們也不再忍受樣板式的法律術語。相反的,即使有出錯,資安長也希望能夠公開透明。如果在這一點上受到質疑,資安長將選擇退出。
拆分資安長角色
有鑑於這個職位的困難處,幾年前我提議將資安長角色一分為二。我建議可分為以下兩個角色:
1. 專注於風險管理和監管合規性的業務導向高階主管。
2. 專注於威脅預防、偵測和應對的技術導向高階主管。前者應向執行長和董事會彙報;後者在向前者彙報的同時,直接向資訊長彙報。考慮到人們對這一職位的擔憂,這樣的雙重角色可能會在 2024 年成真。
(本文授權非營利轉載,請註明出處:CIO Taiwan)