隨著更嚴格資料法(data law)的到來,資安長(CISO)的角色正從資料管理人(keeper)轉變為保管人(custodian),讓我們一同看看資安長是如何實現這樣的轉變。
文/Yash Mehta‧譯/酷魯
近年來,網路犯罪的頻率和複雜性急劇上升。根據 Deep Instinct 的研究,75% 的安全專業人員觀察到 2023 年網路攻擊有所增加,其中 85% 將其歸因於生成式人 AI。這些攻擊以各種形式出現,通常包括透過網路釣魚來存取個資,而 AI 讓這種攻擊越來越難以偵測。
隨著我們儲存在線上的資料變得越來越容易受攻擊,資料保護也隨之而變得更重要。社會期望的變化圍繞著隱私權的議題,導致每個人希望從收集和處理資料的實體過程來獲得透明度和安全性。
[ 推薦閱讀:專訪凱基證券亞太區資訊長暨資安長黃榮林 ]
在這場資料保護戰役的最前線,資安長受託負要保護組織資料資產的重大責任。而正如「防衛(safeguard)」一詞所表示的,這裡包含了 2 個責任:安全地儲存資料與防禦外部威脅。這時,資安長不僅是監督者,更是關鍵安全勢態的架構者。
然而,僅擁有資料所有權是不夠的 ,因為日新月異的科技與安全威脅所帶來的挑戰,正呼喚著「資料保管人」的角色。
當前的法規遵循現況
當前所產生和收集的數位資料量比以往任何時候都要多,隱私合規旨在確保這些資訊在每個階段都得到妥善的處理。通常,合規框架描述了組織管理這些敏感資料的法律和道德倫理界限。
在我們身處的當前數位環境中,全球性、區域性和產業特定的法規的融合塑造出一個動態環境,要求一絲不苟地遵守嚴格的資料保護和隱私標準。為了應對日益增加的網路威脅,合規變得越來越錯綜複雜。
例如,歐洲議會(European Parliament)在2023年11月透過了《資料法案》(Data Act),在2024年初生效,而英國上議院(UK House of Lords)目前正在討論其自己的新版《資料保護和數位資訊法案》(Data Protection and Information Bill)。在美國,已有12個州簽署了全面性的隱私法,另有八個州正在著手制定中。就聯邦層面而言,美國《資料隱私和保護法案》(American Data Privacy and Protection Act,ADPPA)正在國會審議中,其在2022年首次提出時就獲得了兩黨廣泛的支持。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
除了這些區域性標準之外,還存在產業特定的框架,如《健康保險可攜性與責任法案》(Health Insurance Portability and Accountability Act,HIPAA)以及支付卡產業(PCI)的合規標準。
這些法規提供了保護個人隱私和安全的雙重目的,同時為負責任的資料處理建立道德標準。公司必須確保對現有法規的持續了解,並主動預測並應變即將到來的變化。
保管人:資安長是資料的積極捍衛者
想要在這個錯綜複雜的法規形勢中,有效地駕馭自如,不僅要有合規性:它還需要策略性、持續性的承諾。雖然資料所有者可以定義政策,但保管人才能負責實施,並確保遵守這些政策。
當前數位時代的資料保管呈現出不斷演進與發展的態勢,資安長肩負資訊管理責任的關鍵角色。隨著組織因應錯綜複雜的法規和合規環境,理解和擁抱資料保管的基本要素,對於培養可信賴、問責制和道德資料實踐(ethical data practice)的文化至關重要。
資安長的主動積極角色就當是保管人,是一個與生俱來的定位。而這角色對於強化組織來抵抗不斷演變的網路威脅,並確保遵守隱私法規是至關重要。
[ 熱門精選:AI 時代 網路安全角色的演變與招募重點 ]
透過系統性地整合來符合當前產業標準的嚴格措施,這些資安長展現了維護隱私和安全要求所需的承諾。面對不斷演變的法規全貌,這些組織展示了應對複雜性,並確保道德資料實踐所需的彈性。
像 Cypago 這樣的公司決定支持資安長跟上不斷變化的法規,Cypago 是一家基於 SaaS 軟體即服務的網路「公司治理、風險管理及合規審查自動化」(GRC Automation)供應商,幫助資安長做好稽核的準備。資安長可以順利確保道德資料實踐,使他們輕鬆獲得所需的網路安全認證。透過這樣做,組織加強了不同利害關係人的信任,並減輕了與資料外洩和隱私侵犯相關的風險。
實踐資料保管的步驟
資安長們需要哪些關於具體行動的策略性、持續性承諾?資安長們最好將合規視為不僅是要檢查並完成的待辦事項清單,更是要建立更強大、更有彈性的整體網路安全態勢的步驟。例如,《加州消費者隱私保護法》(California Consumer Privacy Act,CCPA)要求企業每年至少更新一次線上隱私政策。
資安長不應將合規視為繁重的年度要求,而應該把握當前安全勢態的動態性所帶來的機會,檢視公司的合規,並適時調整安全策略。
網路安全正成為組織整體業務策略的關鍵部分。過去,資安長主要向 CIO 資訊長匯報工作。如今,隨著越來越多的業務營運轉移到線上,他們需要與資訊長並肩工作,並與公司所有不同部門持續保持聯繫。
為了長時間的保持合規和安全,所有部門的人員,包含程式碼和雲端基礎設施團隊、管理平台存取權限的人力資源員工,以及任何使用與敏感資料來源相連接之 SaaS 服務的人,都必須確保所做的一切是符合標準。
[ 熱門精選:SEMI 攜手半導體供應鏈提升資安實力 ]
此外,合規應該成為公司持續發展的重要優先事項,而不是一項資安長制定後但卻被置之不理的事情。隨著網路安全愈來愈受到資深領導階層的重視,資安長必須從公司高層開始鼓勵謹慎和合規。這些高層主管可以透過在整個組織中倡導並樹立一個強大資料治理文化的榜樣來支持資安長。
有鑑於公司角色高流動率,以及威脅與合規標準的迅速演變,資安長們還必須堅持定期和持續進行網路安全培訓。最後,他們必須建立詳細的紀錄和流程,因為問責制度仰賴於準確的紀錄保存。
合規文化
面對不斷增加的線上資料威脅,保管原則要求資安長保持積極主動性,盡可能保持警惕,以防止網路犯罪分子。透過全力擁抱這種資料保管的思維模式,組織可以建立強固的框架,超越既有的合規,體現出道德資料管理的文化。
更全面性地來看,資安長也因應安全勢態的波動而更強化合規,這種動態性防衛能促成一個協作的環境。在這環境中,政策能被定義,並在整個組織中嚴格施行。從創建到處理,認識到資料在其整個生命週期中的重要性,使組織及其安全團隊能夠優先考慮資訊的保密性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)