成功的數位轉型,技術、流程與人才缺一不可。當新一代資安問題來臨,老一代的組織分工是否能因時制宜?資訊安全到底是資訊單位還是資安單位負責?資訊長(CIO)和資安長(CISO)究竟是一個南北向的問題,抑或是東西向的架構?這些問題普遍存在於現今各大企業中,有人說「合則兩利,分則兩害」,但什麼才是對企業真正有利?
近期,VMware委託Forrester Consultant進行一項研究,調查接下來12個月企業最重要的工作重點,最被看重的是資安和IT團隊之間的協調合作,高達55%的受訪者都認為需要深入討論,也凸顯出企業IT與資安團隊協同作業不順暢的現象。另外一個調查則顯示,衝突發生在執行單位比管理層更為嚴峻(77.4% negative relationship between IT & Security, 53.7% negative relationship between CIO & CISO),無庸置疑,協同打造高效、安全的環境以支持業務,是IT與資安團隊的一致目標,但權責不清且指揮體系不同,使得在執行上產生許多衝突。
究竟資安長應該直屬於那個單位?45%的受訪者表示目前公司的資安長是向資訊長彙報,17%則是向執行長彙報,另外有11%則是彙報給營運長;進一步詢問受訪者認為資安長應該彙報給誰?有37%的受訪者認為應該彙報給執行長,26%認為應彙報給資訊長,也有9%認為應彙報給營運長。這問題雖說沒有標準答案,但以公司治理的角度來說,資訊長與資安長屬於平行單位各司其職,是個目前較被認同的方向。
近來我們看到國內許多金融單位已因應金管會的要求,將資安團隊獨立於資訊單位之外,可說是一個起點,但資訊長和資安長之間的權責問題,並不會因為組織調整而立刻消弭無形,重點還是要從流程面與技術面劃分出更細的分工權責,至於權衡效率與管控的那一把尺,可以在管理高層定奪,在這個框架之下,雙方的歧見將有望逐漸減少,合作起來也能漸趨順利。
資安人才稀缺是企業面臨的另一挑戰,人才的養成需要時間,而層出不窮的資安事件更讓資安人才在求職市場上更炙手可熱。IT界的朋友們時常自嘲IT不求有功但求無過,對於資安人員而言何嘗不是如此,工作壓力大,工作績效不易彰顯這些都是技術人才不願走入資安領域的原因。企業主管應多給予一些掌聲與鼓勵,營造正面合作的氣氛取代事件咎責的壓力;另一方面資安單位除了資訊安全,也莫忘企業發展搶進市場有時是需要彈性的。只有雙方不斷地換位思考,才能為公司創造最大利益。
「越複雜的事,要用越簡單的道理應對」,眼前的問題千絲萬縷,技術面上的規格你高我低,其實都是一時一刻的消長,放眼中長期的技術趨勢,其實也並非如想像中的複雜難解。
<本文作者:吳子強現為VMware副總經理暨技術長>