提升资安防护 设置资安长刻不容缓

随着企业资安生态持续改变，资安长不仅须具备优异技术能力，良好的沟通能力和对公司业务的深度了解更是不可或缺。根据Deloitte研究指出，资安长所须具备的技能包含四个面向—技术专家、守卫者、战略家和顾问。首先，作为「技术专家」，资安长负责指导安全技术和标准的部署及管理；作为「守卫者」，资安长监控和调整程式及控制以持续提高安全性；然而，技术的控制和标准并无法完全杜绝网络攻击，且资安长无法掌控所有可能产生资安缺口的决策，因此，战略家和顾问的角色更显重要。作为「战略家」，资安长需要让资安策略与公司业务策略维持一致，以确保资安上的投资能为企业带来价值。最后，作为「顾问」，资安长必须帮助业务团队了解网路安全风险，以做出明智的决策。

在落实维护企业资安的过程中，设置资安长或资安专责单位仅为其中一项要务，而「零信任」早已成为所有企业及员工必须建立的基本资安思维，企业必须事先假设网路可能出现漏洞，提供员工最低的资料存取权限，限制与严格实施存取控管，才得以将机敏资料外泄等资安事件的风险降至最低。再者，在建立资安防护系统前，企业必须先盘点及检查现有工具的安全性，并呼吁员工善用如多因素验证等既有工具，为自身建立基本的资安防护。最后，不仅仅是资安长的设置，企业应多加思考资安人才的培育，注重团队多样性并加强员工的资安技能培训。唯有透过设置资安长、资安专责单位、培育资安人才、及建立多元化的团队，才能加速改善现况，进而迎战现今复杂多变的网路安全挑战。（本文作者为微软全球助理法务长及台湾微软公共暨法律事务部总经理施立成）