CCISO資安長課程,講師訪談:資安人員須保持開放了心胸
講師介紹
Christopher Lek是南洋理工大學的資訊安全團隊負責人。他在電信、金融業和全球企業等領域擁有超過20年的專業經驗,擔任過治理、風險管理、安全架構和網路防禦等多種職位。為2021首屆CSO東協獎(CSO ASEAN Awards)獲獎的三十位資深高階主管之一。
Christopher除了取得多張認證與講師職位外,也擁有數位鑑識、事故應變、惡意軟體分析和工業控制安全等技術認證,並擔任戰略網路國際研究中心(CSCIS)的高級顧問,與新加坡高級研究和教育網絡(SingAREN)的執行委員會成員。
Q:擔任一個CISO需要面對哪些比較大的挑戰?
Christopher:我目前身為新加坡南洋理工大學的資安長,不管是在內部或外部的挑戰其實跟普通企業沒有太多不同。內部挑戰的部分,在大學任職相對私人企業風險承受度不同,交涉的範圍也很廣。因為在大學中的人員是有不同的組成,例如有有學生、有教授有教職員。相對在企業中,同事們的知識背景較相近,這個是在大學任職資安長比較有趣與有挑戰性之處。
外部來說,在企業中你可以執行比較嚴格的管控,也可以透過企業文化或懲戒來做管控,但在大學因為我們要推廣學術教育,難免會比較開放,所以我們的策略是把學生網跟企業網分離,這樣才能在不影響學生學習體驗下,也確保我們的資料不被駭客入侵。
Q:您擔任過不同產業、公司的職位,以資安長的角度來看,不同的企業環境中有一套共同的方式能試用於不同的組織嗎?或是每一個組織必須有各自的一套方法?
Christopher:以我這幾年的經驗,不同的領域你最先要瞭解的是它的『風險偏好(Risk appetite)』還有你的回應。在比較受管控的產業如金融業,它上面有監管局,可以做比較嚴苛的管控,所以它的風險偏好會稍微低。而我在GE與Sony就職時,因為公司旗下有許多不同產業項目,包括醫療、保險、能源、航空等,所以在不同的產業下也有不同的要求,如醫療領域就要遵循美國FDA的管控。因此跨國企業最大挑戰,就是不能用一個固定標準去管控。我們亞太地區不同國家的個人隱私保護也會有不同的要求,申報機制也不太一樣。不過總體來講大家都會以GDPR(General Data Protection Regulation)的方向來做一些參考指標。
換一個角度來看,新加坡、馬來西亞或臺灣,這幾年都在發展各自的資安法,涵蓋的行業也有些雷同,像新加坡我們有11個領域,包含金融業、政府、水電等等,當我在參考馬來西亞跟臺灣的法律時,我也發現包括了交通運輸、醫療等。從中也認知到許多重要的基礎設施可能與個人生命威脅息息相關,所以隨著科技的運用,政府意識到需要有資安法來做更好的管控,以免造成人命的傷亡,也避免造成整個社會運作的困擾。
Q:在老師這麼長的從業生涯中,有沒有比較印象深刻的資安事件?
Christopher:大概10年我在Sony的時候,發生了一個重大資安事件,那次我也參與了整個事故應變的過程,那是一個很嚴重的攻擊事件,超過15,000台伺服器被攻擊。我印象深刻,當時一早就接到美國同事的電話,告訴我不要啟動電腦,我一到公司看到的是多台電腦的資料都正在被刪除,而我們也迅速的啟動緊急應變措施,也證明了其實『事件肯定會發生,重點是你要如何應變』。而這一個危機經驗也讓公司意識到資安的重要性,雖然花了好幾個月重建系統,不過整個過程也給我們很好的機會去將系統重建的更加完善,事後整個資安組也獲得了更多的人員與預算上的增加,可以做更完整的對防禦,所以我認為『What doesn't kill you just make you stronger.』
Q:請您給想在資安領域更上一層樓的從業人員一些建議
Christopher:資安行業是一直在轉變的,而且技術也一直在更新,成為一個資安人,你要抱有終身學習的態度,不論是上課培訓,或是在職學習,或者是透過跟同僚接觸來互相學習。我認為在這個職業生涯你要不斷的追求去瞭解新的技術、新的作業方式,更重要的是你要擁有比較開放性的的思維,對來應對我們這行的迅速轉變。
你可能會遇到各式各樣想像不到的挑戰。譬如現在人工智慧(AI)很蓬勃發展,這就像是我們當初網路剛剛興起時,大家對這一塊都不是很瞭解,所以你要開始從事人工智慧的資安,你就要學習什麼是人工智慧,瞭解過後你才懂得如何去防禦。這是一個不斷推你去精進跟學習更多新知的過程,所以不要害怕新事物與挑戰,要有開放的心胸去適應這個快速變動的時代。
Q:今年已經是您第二次來到臺灣教授CCISO課程,這個課程的特色是什麼?
Christopher:在5天的課程中,除了理論上傳授,我們也進行小組討論,我也會分享一些case study。最特別的就是在第五天我們會有一個情境演練,我會模擬一個事件發生,由不同的學員扮演不同角色,比如CEO或者CISO,來面對突發事件的應變。我很感謝大家都很踴躍分享自己的實務經驗,這個課程特色在於不只是有講師在講,更重要的是大家可以互相學習,我也很高興大家也建立了line群組,課程過後大家還保持並聯絡分享一些資訊。
Q:學員對於課程有怎樣的回饋?
Christopher:有幾位同學反饋說我分享新加坡的例子,或是新加坡企業的運作方式,他們覺得很有幫助。尤其一些同學是在跨國企業就職,也有分公司在新加坡,所以對他們來說我的分享會幫助到他們更瞭解新加坡的資安。也有同學回饋說他很高興可以聽到不同行業的分享,因為大家可能來自金融業或製造業等不同產業,所碰到的問題也很不同。其實做資安不是一板一眼的方式,透過討論大家可以互相學習,尤其是對於比較不成熟的企業,他們也可以向成熟企業模仿,並知道如何漸漸的去效仿他們的作業方式。
👉索取EC-Council CCISO資安長課程課程資料
👉開課時間查詢
本課程是為了培養專業資安經理人所設計的認證課程。其課程內容由資訊安全治理的角度出發,由上而下規劃,包含資訊安全管理與相關知識內容。其切入的層面,由資訊安全治理、管理與稽核三個層面切入,並從組織營運的角度思考資訊安全,藉由策略規劃、專案的執行與維運落實資安。並且透過介紹資安相關職能,加強資訊安全管理的能力。
* 此課程為「數位發展部資通安全署」認可之資通安全專業證照
0 意見:
張貼留言