給各部門長(CxO)的建議
在過去二、三十年來,組織大多將 IT 和網路安全視為成本支出而非戰略資產,也因此形成一種對技術和專業管理者不重視的文化。
這種普遍傳統的 IT 觀念,讓領導階層認為可將IT部門外包來節省開支,並提供如同組織內部IT部門與領導層緊密配合的優勢。然而,這會使業務與 IT之間脫節,因為技術專員通常會被單純視為替業務提供技術解決方案的員工,而不需真正了解這些解決方案如何能幫助業務。
另一方面,IT 所運作的流程對業務主管和董事會成員來說,不一定意味著什麼。但在現實世界中,並沒有所謂 IT 流程或資安流程這類東西存在,只有業務流程需要 IT 的支持以及資安保護。
例如當新進員工需要存取公司資料,或當他們升遷/離職時,其存取權限級別都需要加以改變,然而這些若沒有 IT人員的協助就無法完成。
身為財富雜誌全球前10大企業的資安長(CISO),我非常了解營運長(Chief
Operations Officer)扮演的角色,我熟知公司的商務運作方式及背後的核心業務。
我給資安長的建議是,若只讓自己的思維停留在技術層面或資訊長(CIO)的角色,是否還能在數位轉型下為公司業務帶來更廣的影響?
關鍵在於了解您的業務實際性質,及其存在的核心原因為何。我常常強調:「從來就沒有所謂的資安流程,更沒有所謂的 IT 流程。只有業務流程,唯有仰賴資安才能順利運作並獲得完善保護。」
對我來說,這才是 CISO 所扮演的關鍵角色。了解您正在協助的業務流程,以及若該業務流程出錯會發生的問題,然後就業務層面與 CEO 和業務主管探討可以提供的角色和協助,確實專注於會對公司業務帶來影響的衝擊。
