潘世鳴(Peter Pan)│ BSI台灣資通安全客製化查核/NIST CSF網路安全框架/金融合規產品經理
責任編輯 徐瑋琳 撰文整理 鄭詠中 校正修訂 黃純郁
本次 BSI 電子報要替讀者採訪資通安全客製化查核/NIST CSF網路安全框架/金融合規產品經理潘世鳴(Peter Pan),斜槓裡每一職稱都擲地有聲。帶著豐厚資歷背景與資安人特有的堅持,2020 年 Peter 加入 BSI。藉本次採訪,聽幽默睿智的 Peter 從協助智慧財產局與海關查緝電腦仿冒盜版品稽查出發,擁資安與資訊技術部門主管基礎,進而擔任協助企業組織建置資安策略框架顧問,累積資安稽核的專業背景經驗及養分,一路歷練成長,至今時按法令與標準本質,清晰逐步協助客戶檢視資安成熟度架構以達成資安治理—超越職位與產業本位思維和良好的溝通能力—是 Peter 的本領;能持續每期都帶給讀者不同的概念與新知,是 BSI 電子報的榮幸。
剖析各方稽核差異 提供客製化查核
Peter負責過第一方及第二方資安稽核,到後來擔任公正第三方,請他剖析各方稽核差異,Peter表示不在要求面向,而在目的性。Peter坦言,能夠最直接發現組織問題的是內部稽核,但內部稽核人員在承擔了企業文化的衝突壓力下,就可能將發掘風險的責任委外至第三方公正單位。再談第二方稽核:稽核員代表企業或組織去稽核供應鏈相關合作廠商,稽核員查看的重點不一定僅著重資安管理制度為何,而是協助客戶去檢視身為合作廠商,是否同樣重視企業或組織所要求的資訊安全,這些無形但存在的事實時常無法透過紙上文件傳遞,稽核員需要有能力看見受稽核的廠商內部文化與資安落實程度,並將實際執行情形與重點寫在報告中,呈現給受妥託之客戶,讓客戶評估與供應鏈相關廠商持續合作的信心指數與意願。
Peter曾參與中央部會專案辦公室團隊,協助檢視組織內部與委外供應商資安落實程度;同時,曾接受大型企業妥託,以獨立第三方的角度,檢視企業內部的資安管理制度與資安防護能力。獨立第三方公正單位BSI,看見企業期望滿足客戶要求、符合國際標準驗證與提升自我資安能量過程中的gap,台灣分公司籌劃已久的「資通安全客製化查核」服務正式登場了—產品經理Peter說:「我們都瞭解企業對於資安能力提升的期望與需求,也熟知各方稽核的專業與資源,讓我們得以提供這樣的協助」提觀點抓重點,BSI can help。
從法令標準核心切入協助
「每個法規和標準都有想強調保護的目標與精神」。Peter以「Open Banking開放銀行」舉例:大家都重視開放銀行的安全議題,企業如何在透過新興技術取得相關機敏資訊時,同時能保障消費者的資訊安全是其中的重點項目。BSI可協助從事金融科技(FinTech)的企業,依照法令標準檢視開放銀行的相關安全要求,讓主管機關與合作銀行瞭解,企業已實施哪些資訊安全管理制度與控制措施,可保障消費者資訊安全。許多企業與組織都已藉由像Peter這樣的專業稽核員,從法令標準核心切入協助。
技術提升 思維更要提升
請Peter就第三方稽核角度,看過往角色及各級組織所遇到的資安困境,給予建議與優先順序,Peter就台灣資安環境養成做了盤點分析:台灣一直以來以技術導向做資安防護走向,但國際間對台灣資安的定位是「過去10年來國際駭客的練兵場」,這樣的標籤並不會套在南韓或以色列,這是表示台灣資訊安全這10年來都沒有提昇嗎?時至今日,資安即國安,國發會宣告至2025資安產值達800億,但未來10年是否台灣就不再是國際駭客練兵場?官方到民間花了很多大錢在解決技術問題,但很可惜的是,在企業實務運作上,資安部門有時卻很難確認,到底真正解決了哪些資安風險或問題。高階管理主管對技術細節多半不甚熟悉,他們想要知道的是,當遇上駭客攻擊時,對企業營運上會造成什麼影響?
Peter舉之前曾協助某企業與公部門,做客製化查核「網路安全架構NIST Cyber Security Framework」之案例,公部門最重視的是形象議題,若公部門遭遇資安攻擊成功,會導致民眾對於政府的信心降低,到此核心目標就應該更清楚了─「政府就是要讓民眾有信心」。為達成這個組織目標,應該要實施哪些風險管控或資安控制措施?若能達成,高層就會有感。不是只著眼在資安設備或產品有多厲害,而該在找到組織的核心目標後,記得要用企業或組織營運主管聽得懂的語言去傳遞,良好的溝通是預算通過的關鍵,在技術專業部門近20年的Peter說得很明白。
NIST CSF與ISO 27001相互搭配 從資安成熟走到資安治理
Peter生動的介紹關於網路安全架構NIST CSF的歷史背景。美國自911攻擊事件後,責成美國國家標準與技術研究所(National Institute of Standards and Technology, NIST)進行研擬出一套務實的網路安全框架,要盡可能與所有已存在的安全標準與機制整合,所涵蓋的部門需識別關鍵資產,做保護防範,面對網路攻擊時知道如何因應。雖然NIST CSF 2014年設計時,適用對象是美國政府與關鍵基礎設施(Critical Infrastructures),但在2018年後,許多企業開始使用NIST CSF做為內部資安管理框架,原因在於企業認為影響營運的關鍵基礎設施不再僅限於資訊部門,也包括任何生產部門、財務部門、運輸部門及核心業務部門,都可能在遭受駭客攻擊後業務停擺,而ISO 27001資安管理制度已普遍被視為企業在資訊安全議題上,制定內部須共同遵守的規定之基礎要求;在實施ISO 27001資安管理制度後,導入NIST CSF的多數企業,則視為此框架可作為跨部門資安合作與風險管理之資安成熟度模型,以提昇企業整體網路安全防禦強度。
舉例來說,NIST CSF在災害復原(Recover)中有一個項目是溝通(Communication),依照實務作業來看,當資安事件發生後,企業或組織與客戶或投資人要怎麼溝通?要如何讓客戶、投資人或相關利害關係者,可以瞭解與相信企業與組織是有能力處理資安事件的。這與前面Peter談到「每個法規和標準都有想強調保護的目標與精神」邏輯相契。
每個管理系統都有其演進的過程,而因應到企業的需求。台灣各企業或組織普遍都導入ISO/IEC 27001 資訊安全管理系統;當制度建立後,管理階層會進一步想知道,花了那麼預算與實施這麼多的資安措施,到底做得好不好,到底企業或組織的防禦能量、資安事件處理能力是否有所提昇,可讓企業或組織在嚴峻的駭客攻擊活動下,持續營運與生存?這就牽涉到「成熟度的概念」,隨資安管理制度發展,「資安成熟度」從中產生,再衍生出「資安治理」。當我們講到「資安治理」,會定位在較高階主管去控管的事情,雖然組織裡每位管理階層對於標準的瞭解與認知也許不同,但在整體發展方向是一致的,都是為將公司的政策落實,使營運獲利。資安人員可評估思考,從技術導向出發,到開始重視資安成熟度,進而走到資安治理,這其中沒有任何捷徑,都有其進程。Peter再次就思維提升做提醒:基層與中階主管,可多去了解老闆在想什麼?公司的核心組織目標為何?公司的核心組織目標就是資安部門應存在於公司內的理由,相較以往我們更有機會接觸到不同職位的人如何思考,是這個時代的優勢。
資安浸潤年代 稽核信念與觀察
疫情使全世界數位化急遽加速,資安已成為組織營運與繁盛永續的核心條件,在這個人人都被資安浸潤的年代,Peter反而認為時間久了,人們對資安會產生倦怠感:「資安不會單獨存在於企業,資安存在於每一個流程步驟中。」Peter指出,稽核工作最重要的目的是「協助客戶發現風險」,但這往往與「客戶不想被稽核員發現的風險」相衝突; BSI稽核員普遍有的共同特質就是很願意協助人,都帶著這樣的信念來到BSI,當提出的意見客戶不接受,就好好傾聽顧客的想法:「我們堅持把工作做好是本分,但因為溝通而產生衝突那就要自我調適。」Peter幽默感發作:「我都鼓勵同仁,今日事今日畢,如果不行就放棄」言畢大笑。
臺灣證券交易所在4月27日發布公告,明訂上市公司發生重大資安事件,應發布即時重大訊息—Peter認為法規立意良好,有心將資訊安全放入金融交易並因應到法律層面,但如何落實還需觀察;雖有趨勢在形成,但所謂即時發布,企業不一定是對大眾,往往針對的是股東與客戶。呼應之前提NIST CSF架構下,災害復原(Recover)的Communication,若是發展成「重大資安事件」,出來面對公眾的必須是董事長、執行長、財務長等三位重要主管等級,若是由資訊長出來說明,很多時候會被認為推諉管理之責任。高階主管當面對公眾或媒體時,應該要如何陳述資安事件處理情形與公司營運狀況?就Peter過往在業界安排過的實境訓練,平時辯才無礙的高階主管遇到這種高壓場合,也可能會有些難以掌握的意外狀況發生,所以「這樣的說明是要練習的」。
放空得以吸收更多 BSI台灣給予空間
問Peter休閒習慣,他說自己喜歡閱讀,且什麼書都看。對訊息到知識,如何保持這般收納靈活度?Peter說假日時會開車到北海岸,走走山看看海,放空什麼都不想,腦袋清空才能裝新的東西進來。Peter說BSI很願意給同仁成長空間,相較之前待過的職場,BSI願意提供員工發展的時間與空間,而且有很多夥伴願意協助,這點竟然在Peter剛到BSI時的很不習慣:「怎麼會有這麼多人會來幫忙?」同時感受到BSI的企業文化與標準精神契合,沒有要求一次到位,但下一次我們可以更好。