首頁

  • 仝興倫的部落格(浮雲)

    從事資安工作近23年,2023年退休後,想跟大家分享一些資安的經驗,上從執行長、資安長,下至資安從業人及所有人,都可以在你所在的位置,思考你應該或可以做的事。

    因為不期待所有人都接受或聽得進去,所以我希望以傳教士的理念傳播出我的經驗,至於有興趣的人就可以參考應用,沒興趣的就當故事看,希望用不是嚴肅的口條,跟大家分享經驗,也許偶爾穿插一些發生的小故事,讓大家看看資安事件發生的案例。

    當然也會分享一些生活上的點點滴滴,諸如旅遊、美食、健康等,希望大家可以除了工作外,在生活上也可以多采多姿,品味多種的生活型態與方式。

    廢話不多說了,後續會隨興所至,也許會針對整個企業來看;也許會針對單一主題來寫,總之引用「浮雲遊子意,落日故人情」這句話的意境,意思就是說,我寫的內容主題不定,因為對資安還有所感情,所以寫寫文章,提供大家品嘗。

    惜 福 感 恩、知 足 常 樂

  • 企業做好資安的幾個重要步驟(二)

    二、建立一個安全團隊(Build Security Teams)

    這邊會談二個問題,一個是資安預算的評估,另一個是資安團隊的建立。

    (一)首先,是資安預算的評估

    資安投資在哪,取決資產優先性,列出風險等級和發生機率的對照,排定保護的優先次序,有些資產攻擊風險高,但發生機率低,有些則相反,當企業對各資產的風險瞭然於胸時,就能決定資安投資的優先性。

    當然不同產業別,對於所要保護的東西會不同,例如,電子商務業的交易網站是重點資產,駭客攻擊讓交易停擺,就是實質損失;高科技製造業看重的則是跟生產與智慧財產相關的IP和OT系統;電信業則是核心網路與客戶門號申租平台,如果發生問題可能直接影響民生所需。

    至於資安投資比例的適切性,從國外文獻及業界實務經驗來看,資安投資比例佔整體IT預算的3~5%或4~6%是相對較為合適的比例,但仍須因產業是否易受資安威脅而有不同配置,如金融、電信、電商等數據敏感或監管密集的產業,則應投入更高的預算比例,可能須佔整體IT預算的10~15%。

    (二)再來,是資安團隊的建立

    這邊會談到一個企業建立資安團隊需要多少人? 以及資安團隊的架構與人才選用,至於公司資安人力不夠,就可以考慮委託外部專業資安業者的協助了。

    資安團隊的人力配置,首要當然是符合法規的要求,不管是數位發展部頒布的「資通安全管理法」,還是金管會發布的「公開發行公司建立內部控制制度處理準則」,對於資安人員的配置都有規定。

    另外,我依據二篇國外文章分別談到資安人員的數量,提供參考,當然組織規模的大小,直接與資安人員的數量呈正比。

    (1) 2010年Forrester與北美及歐洲企業資訊安全決策者訪談後(2199位),提供企業資訊安全組織架構、安全人員配置等建議與指引:

    • 企業每500到750人可設置1名資安專職人員
    • 企業每1,500到2,000人,可設置1名資安專職架構師
    • 企業每5,000人,可設置1名IT風險專家
    • 超過4,000人的企業應有資安專責主管
    • 超過7,500 人的企業應有資安專責單位

    其實當初我任職的公司,在初創建立整體資安組織架構時,相關配置的資安人員與這篇文章提到的比例還滿接近的。(我是先建立,後來才看到這篇的)

    (2) 2022年1名從事資安工作者在寫的一篇Better Security文章中提到,此篇描述內容相較粗糙一些,但也提供大家參考:

    • 如果您的組織規模較小,只有 200 名或更少的員工,您可能只有1~2個 IT 員工,這些人就是您的安全團隊
    • 如果您的組織是中型的,大約 200 到 1,000員工,你可以請得起幾個專門從事安全的人員
    • 如果您的組織很大,超過 1,000 名員工,您需要中型組織所需的所有員工並將每個角色人員擴充,同時成立專門的藍隊和紅隊
    • 如果您的組織有超過 10,000 名員工,您可以成立安全運營中心(SOC)

    至於資安人才的選擇,我個人的看法,最重要的是人品(誠信)、再來是態度、最後才是技術,其實強調的一點就是你不一定要找很厲害的專家(有時覺得找一張白紙來,再透過訓練培養,更能契合整體企業文化),而是要找誠信、負責、肯學習,並且認同你理念的人,這樣整體團隊的運作才會順暢,因為資安的問題是需要互相搭配,透過回饋不斷改善,才可以愈做愈好。

    如果你擔心在人員培訓上花費大量時間與金錢,培養好了他又會離開公司,這樣好像很不符合成本效益。如果你是這樣的想法,那可能就需要調整一下你的心態了,因為現在的社會,你不能期待員工的忠誠,就連號稱最忠於企業的日本人,在一次國外調查中都出乎意料外的發現,只有40%員工選擇「我信任目前的公司」。

    當你團隊的優秀人才決定要離開,一定是覺得委屈了,哪裡覺得委屈,我想不外乎是覺得薪資太低、未來沒發展、學不到新東西、團隊相處不融洽。有些事情不是你能控制的、有些情況可能他本身也有問題,但是個人覺得你至少可以做到下面幾項事情,來留住你的人才:

    1. 對於人才的重視,不是停留在口頭上,而是落實到關心人、培養人、造就人的具體行動上,例如「職業生涯發展計劃」就說明對他個人的發展是有重視的。
    2. 強調組織內部人際關係的親密、和諧,和則榮,不和則傷,而要達到「和」,正確運用語言顯得尤為重要,並建立一種「夥伴」型的工作關係,塑造「團隊協作精神」
    3. 薪資的問題,也許不是你個人可以決定的,但是至少可以做到一些事情,最重要的是與CEO及CFO打好關係,讓上面的人看到你們的表現,這樣當你想要幫同仁爭取不管是薪資、特別獎勵、績效等都相對比較有機會。

    此外,如果你沒有辦法找到資安專家,或是你想自行培養資安人才,可透過培養「資安斜槓人才」的方式來進行,就是在內部招募資訊、網路領域之具有工作資歷且對資安有相當程度之興趣者,藉其在該領域的專業經驗,利用實際資安場域(如:執行資安專案),建立其資安專業經驗,成為資安斜槓人才。

    【選才、育才、用才、留才】

    最後來談一談資安團隊組織的建立吧,這還是從NIST-CSF框架的角度來看,個人認為會至少有下列分組,你可以參考看看:

    1. 規範制度組
      1. 遵循法規與國際標準
      1. 資安與個資隱私保護政策規範
      1. 資通安全組織與運作
      1. 風險管理與防護對策
    2. 資安防護組
      1. 網路安全防護架構
      1. 滲透測試與紅隊演練
      1. 營運持續運作演練
      1. 內外部遵循性查核
    3. 監控反應組
      1. 威脅情資分享及聯防
      1. 智慧化安全監控中心
      1. 安全性通報與處理
      1. 數位鑑識與事故處理

    前一篇:企業做好資安的幾個重要步驟(一)

  • 呂桑食堂(台北永康街)

    晚上跟過去同事林宜誠、蔡俊偉、陳明德三人小聚聊聊,來到台北永康街的呂桑食堂,這是一家專營宜蘭菜的店,口味算是還滿道地的,大家喝喝酒、聊聊過去的事情,度過一個不錯的夜晚。這家價格還算親民,店家提供的金棗茶,甘甜微酸,十分爽口,如果喜歡宜蘭菜,三五好友聚會時也可以考慮來坐坐。

    左邊那罐貓頭鷹的葡萄酒,略帶一些甜味,比右邊那罐好喝

    叫了幾樣菜:
    花雕蝦、宜蘭卜肉、粉肝、油雞、西魯肉、糕渣(左圖)
    白切透抽、清炒蘆筍、滷肉飯


    呂桑食堂
    地址:106台北市大安區永康街12-5號
    電話:02-23513323

  • 企業做好資安的幾個重要步驟(一)

    企業要如何做好資安,以下提供幾個重要的步驟,其實基本圍繞組織、人員、程序及技術(OPPT),這也是大家經常考慮的幾個面向。

    一、塑造企業資安文化(Establish Security Culture)

    「與你必須做的所有工作一樣,為了確保你的公司安全,建立和維護強韌的安全文化不是你說完就忘記的東西,這是一個持續的日常過程,也是你累積不斷構建和維護的東西,如果你忽視它,它就會死去。」 一名網絡安全專家曾說過:

    安全是一個過程,而不是一個產品

    首先送給各位一部武功心法,如能了解其真髓,相信最後一定能成功打下一片江山。

    把握機會,凸顯資安

    從上到下,打透通關

    了解人性,取得共識

    溫煮青蛙,分段執行

    號令天下,莫敢不從

    一切都需要從這裡開始,也是最難的,就是要讓組織中的每一個人(從小小兵到CEO)都認真對待資安問題,否則你的資安政策就是一張掛在牆上的口號,只會隨著時間泛黃。

    其實很多時候,時間久了,大家就習慣成自然。所以要無時無刻不時地提醒、念茲在茲,長時間累積下來,就深入民心了(也許是迫於無奈、也許是心甘情願,但只要結果是好的就行啦)。

    接下來要講的是如何塑造企業資安文化,我相信這是需要方法與技巧的,雖然很難,但是提供大家一些可以去做的事情,至於是處罰或獎勵,個人認為是交互運用,沒有絕對。但是可以透過宣導期再進入執行期,因為這就像是交通法規請你開車不要迴轉,但就是有人貪圖方便直接迴轉,若不處罰不遵循法規的人,不但他不會記取教訓,也對那些遵循法規的人不公平,總之先循循善誘,再付諸執行。

    • 宣導&培訓-安全文化的基石
      • 資安教育訓練及測試(每年至少一次)
      • 不定期的資安宣導大會(重要資安策略擬定時)
      • 定期的資安策略委員會(每二個月至少一次)
    • 演練&查核-精益求精的做法
      • 舉辨電子郵件警覺性測試(每年至少二次)
      • 資安事故通報處理演練(每年至少一次)
      • 資安查核(每年至少一次)
    • 懲罰&獎勵-循循善誘的手段
      • 違反資安規範扣分
      • 主動通報事件獎勵
      • 年度表揚大會(含團體及個人)

    請注意,獎勵他們良好的安全行為時,一定要明顯地、大聲地。懲罰不良行為時,不要點名及羞辱,因為那只會產生反效果。

    當然要建立好的資安文化,CISO是很重要的角色,他必須能夠與人良好合作,也必須說人話,講別人聽得懂的語言,得到他人信任,並持續捍衛塑造企業資安文化的決心。

    文化是人們在相互交往中創造和保持的思想、態度與風格,您的公司可能有最好的安全策略及最昂貴的網路安全設備,但如果人員沒有以安全的方式執行,那改善您公司的安全態勢(Security Posture)將會是一場艱苦的戰鬥。

    總之,還是需要建構在互相溝通(Communication)的基礎上,取得一定的共識,說明是在幫他,不是找他麻煩,因為如果不小心真的出事了,只要他照規定來,他就不會有責任。

    [其他參考]:
    Gartner「CISO 基礎:建立安全意識文化」中提及,為了減少人類行為對其網絡安全風險水平的負面影響,CISO應該做下面4件事情: 

    • 準備從根本上積極改變他們的行為方法
    • 制定長期計劃
    • 利用Gartner PIPE(practices, influences, platforms and enablers)框架
    • 使用以行為為中心、以結果為導向的指標

    下一篇:企業做好資安的幾個重要步驟(二)

  • 我的個人介紹

    我叫仝(ㄊㄨㄥˊ)興倫,我的姓氏比較稀少,大部分的人應該都不會讀,其實「仝」與「同」讀音與意思都是一樣的。研究所時主要是專攻語音訊號處理、神經網路、馬可夫模型等,講白了就是語音辨識,你說中文,我將它轉成文字或動作。工作幾年後,一些機緣負責了大型網路的建置,也奠定了往後網路資安的基石。後來跟一群志同道合的同仁在2000年左右跨入了資安的領域,從一開始開發終端設備安全管理系統,到後來負責公司整體資安策略、制度、防護、監控、稽核等,廣泛的處理了資安的相關議題。

    學歷:
    1. 博士:中央大學電機研究所
    2. 碩士:中央大學資訊暨電子工程研究所
    3. 大學:成功大學電機所

    工作經歷:
    1. 中華電信
    2. 資策會

    專長:
    1. 資訊安全策略與框架(資安治理)
    2. 資訊及網路安全架構規劃
    3. 資安事件處理流程
    4. 安全稽核
    5. 軟體安全開發流程(SSDLC)

    興趣:
    看看書、理理財、寫寫東西、出去走走

    聯絡方式:
    mail:tsl1225@gmail.com

  • 話說前頭-你準備當資安人了嗎

    二十多年前(2000年)開始接觸資安的東西,之前做過程式開發、系統設計、網路架構規劃,也許這一切都是在為資安打基礎。機緣巧合,為了管理公司的終端設備安全,開始研究資安的議題,並隨著時間挪移,範圍更擴及到整個公司系統及網路安全的議題。

    若要我用一句話來送給「白牌的資安從業人士」,那就是「有事鍾無艷,無事夏迎春」,平常你請大家做好資安時,不會有人理你或敷衍了事(覺得你很煩,讓大家很不便);真的發生問題時,就全部推給你,說這是資安人的事(要你當責,負責收爛尾樓)。因此如果你想要當一個資安從業人員,這些基本的體認是要有的啊。

    這樣看來,好像叫大家都不要當資安人了,其實只是想告訴大家,從事這門行業,自己還是要有興趣的,這樣你才能做的久,還保持著熱誠,不會被大浪給淹沒了,因為有時候,你還是需要有「雖千萬人吾往矣」的精神,這樣才有辦法做好資安。相信在資安界的朋友們都聽過一句話,「資安沒有最好,只有更好」,只有經過不斷的淬鍊,才會磨出最佳的璞玉。最後送給所有從事資安人員一句話

    面向要有廣度、技術要有深度、工作要有態度