【资安周报第44期】无法获得首席执行官授权的资安长，就如同折翼老鹰无法高飞

企业对IT的依赖越深，也就更有可能设置资讯长（CIO）这样的角色，不论是提升效率、降低成本或是改善流程等，都可以说是资讯长的专长之一。但是，便利与安全往往是天平的两端，哪一端法码重一点，哪一端就会往下沈，因此，如果一个公司要求资讯长同时兼任安全长（CSO）或资安长（CISO）的角色，长期而言，并不适合，尤其是，公司规模如果大到一定程度时，资讯长若同时身兼资安长的角色，很容易演变成“球员兼裁判”的窘境，毕竟，自己怎么可能发现自己的作为是有风险，甚至还会自己惩罚自己呢？

也因此，公司规模大到一定程度，或者是公司的营运型态，每个环节都必须从风险角度加以控管时，设置一个独立的资安长，就是增加一个可以在公司营运流程上，做控管、踩刹车的角色。

但是，当公司设置资安长角色时，必须要有来自公司管理阶层的全力支持，甚至于，公司的首席执行官或总经理也必须具备一定程度的资安高度，否则，无法获得高层支持的资安长，将有如折翼的老鹰，有翅膀也飞不起来。

而现任脸书安全长Alex Stamos原本担任雅虎的资安长，当初就是因为雅虎首席执行官Marissa Mayer不重视资安，在维护用户权益的议题上，越过资安长等高层直接做决策，也成为Alex Stamos决定跳槽的原因。

资安没做好，付出的代价可能是10亿美元

雅虎首席执行官Marissa Mayer在2016年5月接到来自美国联邦调查局（FBI）或是国家安全局（NSA）的指令，要求雅虎配合政府政策，搜寻并过滤使用者电子邮件内容。而身为公司最高管理阶层的Marissa Mayer，并没有坚守保护雅虎使用者隐私权的责任，便和少数高层决定遵循美国政府下达的机密指令，甚至直接越过资安长Alex Stamos和其他公司高层，下令电子邮件部门的工程师，撰写监听过滤使用者电子邮件内容的监听程式。

Alex Stamos所属的资安团队，在这个监听程式上线几周后，就发现这个异样的程式，当时甚至以为是骇客入侵雅虎安装这样一个监听程式。直到后来发现是Marissa Mayer直接下达开发监听程式的指令后，Alex Stamos认为，在这种与用户相关的重大资安决策过程被排除在外时，也就兴起不如归去的念头，便在6月跳槽到脸书工作，担任脸书安全长一职。

电信业者Verizon在今年7月，决定以48.3亿美元的价格并购雅虎公司，但随即在9月传出雅虎外泄5亿名用户资讯，并且有用户开始集体诉讼求偿时，加上日前爆发监听用户信件的消息，Verizon开始担心未来可能必须负担的官司以及赔偿费用，便传出Verizon打算将并购雅虎的价格直接减少10亿美元，做为未来打官司和赔偿的准备金。从这起Verizon并购雅虎事件来看，因为资安议题可能面临的求偿和损失，代价至少是10亿美元的准备金。

资安长一定要有来自首席执行官等高层的授权和全力支持

一名资安长的工作内容，包括将安全从资讯系统扩大到实体安全与人员安全，也必须兼顾规划能力、工作热忱和工作绩效评估等相关能力，才是判断是否适任资安主管的重要特质。至于个人能力涵盖面要十八般武艺样样精通，要懂得包括IT、资安、稽核、法律、财务和管理等相关能力，最基本，也要能够掌握系统风险，落实法规遵循的要求外，对于企业内的各个流程和环节，像是风险管理、稽核、法务、财务等面向，资安长都有机会跨足并涉猎相关的安全管理。

但是，血淋淋的现实是，首席执行官或总经理对资安的支持程度，才是最后取决于企业设立的资安长，是否可以真正发挥应有功能的重要关键。也就是说，好的资安长一定有一个支持资安的首席执行官，让资安长可以适切地将各种风险对企业营运带来的影响范围和程度讲清楚、说明白的最终靠山；而一个不被首席执行官重视的资安长，即便个人能力再强大，因为资安长无法跟公司高层完整说明相关资安风险及其影响时，将使得资安长形同虚设、无法发挥应有的作用。

许多外商公司的董事会成员中，都会有懂资安的代表，而公司营运报告中，资安往往是最重要的报告事项之一，绝对不会像是台湾企业一样，董事会报告只看公司赚多少钱、赔多少钱、这个营业项目可以帮股东赚多少钱等等，只要是攸关这个公司能否维持正常营运的种种事项，尤其是与安全、风险相关的内容，都应该列为台湾企业董事会的报告内容之一。

资安人员通报公司营运风险时，要有直达天听的管道

不过，台湾企业对于资安的忽略，使得公司不仅不愿意投资在资安上，更遑论聘雇专业的资安人员。因此，一旦公司面临作业和营运流程上的疏失，急需要专业的资安人员提供建议时，往往只能花大钱聘请外部的专业顾问协助。

问题是，外部顾问再怎么专业，很多作业流程甚至是产业的专业知识等，还是内部成员最清楚，最终，内部还是得要有一个专门的资安人员，作为和外部资安顾问桥接的窗口。如果早晚都必需要有这样的资安窗口设置，为何不能及早设置呢？

“有人的地方，就有江湖”，多了一个职务，就得面临企业内的资源如何重新分配的问题，甚至是另外一种资源竞逐的开始。但是，如果要能够彻底发挥资安长可以扮演的角色，或者是，只是一个资安专门人员扮演的角色，公司高阶主管一定要赋予该名人员一个“直达天听”的管道。

也就是说，一旦这些资安长或资安人员有发觉到，有任何的作为会影响到公司系统安全、营运安全，甚至是公司能否持续营运等重要关键议题时，这时候，资安长或是资安人员等，都可以直接越级上报，越过所有的主管阶层，直接通报最高的总经理、首席执行官、董事长等等，让这些负起公司营运全责的角色，可以在第一时间内就掌握到最新情报。

也因此，如果公司规模够大，资讯长和资安长因为任务不同、立场不同，不应该由同一个人兼任，甚至于，应该是独立的两个资讯和资安部门的主管，各自扮演适当的角色才是。

但如果公司规模中等，有资讯部门的设置，却没有办法独立出资安部门时，资讯部门往往会同时有资讯和安全的专门人员在内，那如何做好内部分工，并设定适当的评量指标，像是，降低成本、提供效率就不可能是资安人员的KPI，让资安人员可以从系统面和流程面检视营运风险所在，就可以发挥资安人员最大的功用。

如果只是一个小公司，至少要做到守法，公司才能继续营运，这种小规模公司可能连IT人员都没有的情况下，更遑论要有资安人员。因此，守法是小公司的基本，其他的，则可以透过适当的资安委外，选择重视资安的委外服务业者来减少小公司营运的风险，才是上策。

上周重要资安新闻（10/02～10/08）：

※iPhone 7启动锁错乱，连接非用户本人Apple ID

※Yahoo资料外泄争议，传Verizon要求收购价降10亿美元

※FBI逮捕涉嫌外泄NSA网络攻击工具的约聘人员

※大神也出包，Linux核心4.8 RC版有重大瑕疵，Torvalds出面道歉

※Facebook Messenger全面施行加密通讯

※没完没了？更新版Note 7冒绿烟，西南航空班机急疏散

※万物可骇，娇生警告旗下胰岛素泵有漏洞，恐影响正常胰岛素注射

※Yahoo遭爆曾悄悄扫描用户邮件供美国情报单位使用

※Mozilla之后，苹果也封锁沃通凭证

※研究人员用48个字元命令就能瘫痪Linux systemd

※中了MarsJoke勒索软件别急着付赎金， 卡巴斯基释出解密工具

※骇客公布恶意程式Mirai源代码，让数十万IoT装置组僵尸网络大军的元凶现形

※美总统大选逼近，官员：骇客企图入侵选举系统，所幸未被控制

※凡走过必留下足迹，研究：网络匿名可能只是神话!？