今年九月起,國內資訊媒體龍頭一連舉辦五次大型百人活動,推廣美國「國家標準技術研究所」(National Institute of Standards and Technology)「網路安全管理架構」產業標準(Cybersecurity Framework,簡稱CSF),有助於國內資訊人與資安人了解最新資安標準與產業趨勢。
何謂CSF?從數位韌性角度來看,可將CSF五大功能區分為:資安事件前的「識別」(Identify)與「保護」(Protect)、資安事件中的「檢測」(Detect)、資安事件後的「回應」(Respond)與「復原」(Recover)。
從2014年推廣至今,CSF已成為國際性資安實務標準。2018年起,韋萊韜悅與合作夥伴首度進行全球性資安評比調查報告 Cybersecurity Imperative。本調查以CSF為基礎,蒐集受訪者五大項目的預算分配與能力自評。根據最新的2019年調查顯示,超過十分之一受訪企業資安損失超過千萬美金以上。在面對資安損失不斷創新高的情況之下,受訪企業不僅著重事前的防禦,更把預算分配於資安事件中與後的關鍵資源。
相較於國際企業導入CSF的現況,我們歸納國內客戶對於CSF實際反應:
我們先回答第二點問題,這牽涉到部門的權責。由於A客戶資安隸屬於資訊部門,他只在意IT有關的標準或指標。至於CSF所重視的風險管理內涵,則是另一個委員會負責的業務範圍。B客戶風險管理部門原本想推CSF,但與IT部門討論資安緊急應變流程時,發現IT部門保護主義太重,只好先作罷。事實上,IT本位主義也會限縮IT對於公司全盤的瞭解。以C客戶為例,IT部門提到他們已經與ISO 27001合規。其實,他們僅鑑別IT部門的資訊風險,非整體公司的資訊風險。
第一點問題與標準的範疇有關。2004年,有幸協助推動英國資訊安全管理系統標準BS7799(ISO27001前身)。細數這十五年的觀察,通過ISO驗證單位從政府A級機關與金融業,擴大到政府關鍵基礎設施與高科技產業。2013年ISO27001新增版也將供應鏈管理、資安事件管理與資安營運持續納入控制措施。
表面上,NIST CSF控制措施和ISO 27001諸多雷同,彼此措施也可相互對應;從技術面上,CSF控制措施不似ISO 27001來的具體。既然ISO 27001和CSF這麼多重疊之處,為何我們還需要另一個新的CSF標準?
早在CSF標準制定之初,上述問題可能都已經釐清與討論。從我個人的淺見,從資安AI工具與數位韌性的趨勢來看,CSF補充ISO 27001在「檢測」、「回應」與「復原」的不足。倘若企業僅是從技術方面考量,往往會忽略資安事件後所須的「回應」與「復原」專家資源。這也就是2019年Cybersecurity Imperative調查強調,企業必須重視資安事件的所有損失與成本。一旦遭受資安事件,牽涉到的專家費用包括:鑑識、IT復原、公關、法律等。除了上述專家費用之外,因資安造成的營運中斷損失也可透過資安保險獲得保障與補償。
資安的難處在於既要深入,又要全面。在有限的資安資源之下,資訊人或資安人面對許多難題,如:仍以Excel做資產盤點,或是廠商無法更新機台的老舊系統。站在企業風險管理的高度,有些客戶風險管理委員會已經在定期推動資安演練。這些都是CSF重要的控制措施,也是國際企業分配資安預算的重點。根據2019年Cybersecurity Imperative調查,受訪者回答2019-2020年資安預算分配比重為:「識別」(22%)、「保護」(22%)、「檢測」(19%)、「回應」(18%)、「復原」(18%),這和前兩年的比重差異不大。倘若國際資安的趨勢是從風險管理角度分配資安資源,高階主管何妨透過CSF順勢導入數位韌性,以整體全面觀點因應駭客「木馬屠城」的全面性攻擊。
若您有任何問題或需求,歡迎聯繫我們。
「保險」是從「數據」土壤中生長出來的一門專業。而今日正在發生的數據革命,保險公司能得到跨公司、跨地域的數據,甚至從大量感應器、原始資料之中抽取數據進行分析,未來將出現更為精準的風險評估,企業的風險管理思維也將迎來巨大變革。
許多企業看待資安風險,仍然是「築牆思維」,認為只要買最新最好的設備與軟體,就可以將資安危害拒於門外。以為只要 IT 部門架上拒馬、設上重重關卡,企業就可以高枕無憂。但真相是:以設備採購掩蓋系統漏洞,反而阻礙面對真正關鍵問題。其實資安,是從策略到文化的體質問題。
