資安長修練GRC基本功 牢牢守護企業關鍵資產

近年來，資安威脅呈現「道高一尺、魔高一丈」態勢，企業若一味固守舊的防禦思維，恐怕難以抵擋得住駭客的侵襲。在此情況下，企業對於資安長(CISO)的倚賴程度只會更大、不會縮減；然而CISO如何設在能力與觀念上都能與時俱進，不負長官和同仁的期待，協助企業不斷提升防禦力？毫無疑問，所謂「GRC」(Governance/Risk/Compliance)，肯定是新世代CISO必須駕輕就熟的基本功，而CISO要想帶動企業不斷精進資安體質，勢必要養成GRC文化底蘊。

GRC象徵治理、風險管理、合規。談到治理，需要依據自己身處的產業別，把該領域已經存在的安全規範(例如醫療業的HIPAA、金融業的PCI DSS)，當作你的基礎點，盡全力加以遵循；另外包含美國的NIST CSF(Cybersecurity Framework)、歐盟的GDPR，也很適合連同各個產業規範，一併樹立企業的資安治理標竿；但光有這些標準還不夠，CISO須設法把它介接到企業核心業務，以增強關鍵資產的保護力。

至於風險管理，重點就在於「資產盤點」，CISO一定要很清楚企業最有價值的資產是什麼？存放在哪裡？現在有多少鎖？有沒有搭配加密機制？切莫讓這些資產曝露於不安全的境地。換言之，企業務必要釐清最需要保護的標的物是什麼、萬一被駭會造成什麼影響、發生資安事件的機率高不高；有些東西遇駭機率不算高，但遇上一次就可能讓企業倒閉，所以這些資產堪稱是「皇冠上的珠寶」，絕對需要有清楚的Guideline與策略來嚴加守護。

最後談到合規，企業欲將產品銷往哪個市場，就要遵守當地的法令規範，比方說個資保護，CISO必須確保所有程式碼、生產流程都符合相關規定；以AWS平台為例，已推出「CodeCommit」全託管源碼控制服務，會自動掃描你的程式碼，再以機器學習方式提示何處有安全性漏洞，讓人們得以克服掛萬漏一的慣性，隨時把該修正的弱點、提前修正完畢，以自動化的方法幫助企業切實遵循規範，稱得上是邁向合規的最佳路徑。

你如果認同GRC是新世代資安長務必培養的能力條件，則敬邀您參與2022年3月29日舉行的「AWS新世代雲端資安長戰略峰會-雲領資安 · 現代防禦營運之道」活動，透過這場知識盛宴的洗禮，幫助你快速掌握GRC的要領，順勢踏上CISO的蛻變旅程！活動報名連結請點擊。