CCISO資安長課程，講師訪談：資安人員須保持開放了心胸

講師介紹
Christopher Lek是南洋理工大學的資訊安全團隊負責人。他在電信、金融業和全球企業等領域擁有超過20年的專業經驗，擔任過治理、風險管理、安全架構和網路防禦等多種職位。為2021首屆CSO東協獎（CSO ASEAN Awards）獲獎的三十位資深高階主管之一。
Christopher除了取得多張認證與講師職位外，也擁有數位鑑識、事故應變、惡意軟體分析和工業控制安全等技術認證，並擔任戰略網路國際研究中心(CSCIS)的高級顧問，與新加坡高級研究和教育網絡(SingAREN)的執行委員會成員。

 Q：擔任一個CISO需要面對哪些比較大的挑戰？

Christopher：我目前身為新加坡南洋理工大學的資安長，不管是在內部或外部的挑戰其實跟普通企業沒有太多不同。內部挑戰的部分，在大學任職相對私人企業風險承受度不同，交涉的範圍也很廣。因為在大學中的人員是有不同的組成，例如有有學生、有教授有教職員。相對在企業中，同事們的知識背景較相近，這個是在大學任職資安長比較有趣與有挑戰性之處。

外部來說，在企業中你可以執行比較嚴格的管控，也可以透過企業文化或懲戒來做管控，但在大學因為我們要推廣學術教育，難免會比較開放，所以我們的策略是把學生網跟企業網分離，這樣才能在不影響學生學習體驗下，也確保我們的資料不被駭客入侵。

Q：您擔任過不同產業、公司的職位，以資安長的角度來看，不同的企業環境中有一套共同的方式能試用於不同的組織嗎？或是每一個組織必須有各自的一套方法？

Christopher：以我這幾年的經驗，不同的領域你最先要瞭解的是它的『風險偏好(Risk appetite)』還有你的回應。在比較受管控的產業如金融業，它上面有監管局，可以做比較嚴苛的管控，所以它的風險偏好會稍微低。而我在GE與Sony就職時，因為公司旗下有許多不同產業項目，包括醫療、保險、能源、航空等，所以在不同的產業下也有不同的要求，如醫療領域就要遵循美國FDA的管控。因此跨國企業最大挑戰，就是不能用一個固定標準去管控。我們亞太地區不同國家的個人隱私保護也會有不同的要求，申報機制也不太一樣。不過總體來講大家都會以GDPR(General Data Protection Regulation)的方向來做一些參考指標。

換一個角度來看，新加坡、馬來西亞或臺灣，這幾年都在發展各自的資安法，涵蓋的行業也有些雷同，像新加坡我們有11個領域，包含金融業、政府、水電等等，當我在參考馬來西亞跟臺灣的法律時，我也發現包括了交通運輸、醫療等。從中也認知到許多重要的基礎設施可能與個人生命威脅息息相關，所以隨著科技的運用，政府意識到需要有資安法來做更好的管控，以免造成人命的傷亡，也避免造成整個社會運作的困擾。

Q：在老師這麼長的從業生涯中，有沒有比較印象深刻的資安事件?

Christopher：大概10年我在Sony的時候，發生了一個重大資安事件，那次我也參與了整個事故應變的過程，那是一個很嚴重的攻擊事件，超過15,000台伺服器被攻擊。我印象深刻，當時一早就接到美國同事的電話，告訴我不要啟動電腦，我一到公司看到的是多台電腦的資料都正在被刪除，而我們也迅速的啟動緊急應變措施，也證明了其實『事件肯定會發生，重點是你要如何應變』。而這一個危機經驗也讓公司意識到資安的重要性，雖然花了好幾個月重建系統，不過整個過程也給我們很好的機會去將系統重建的更加完善，事後整個資安組也獲得了更多的人員與預算上的增加，可以做更完整的對防禦，所以我認為『What doesn't kill you just make you stronger.』

Q：請您給想在資安領域更上一層樓的從業人員一些建議

Christopher：資安行業是一直在轉變的，而且技術也一直在更新，成為一個資安人，你要抱有終身學習的態度，不論是上課培訓，或是在職學習，或者是透過跟同僚接觸來互相學習。我認為在這個職業生涯你要不斷的追求去瞭解新的技術、新的作業方式，更重要的是你要擁有比較開放性的的思維，對來應對我們這行的迅速轉變。

你可能會遇到各式各樣想像不到的挑戰。譬如現在人工智慧(AI)很蓬勃發展，這就像是我們當初網路剛剛興起時，大家對這一塊都不是很瞭解，所以你要開始從事人工智慧的資安，你就要學習什麼是人工智慧，瞭解過後你才懂得如何去防禦。這是一個不斷推你去精進跟學習更多新知的過程，所以不要害怕新事物與挑戰，要有開放的心胸去適應這個快速變動的時代。

Q：今年已經是您第二次來到臺灣教授CCISO課程，這個課程的特色是什麼？

Christopher：在5天的課程中，除了理論上傳授，我們也進行小組討論，我也會分享一些case study。最特別的就是在第五天我們會有一個情境演練，我會模擬一個事件發生，由不同的學員扮演不同角色，比如CEO或者CISO，來面對突發事件的應變。我很感謝大家都很踴躍分享自己的實務經驗，這個課程特色在於不只是有講師在講，更重要的是大家可以互相學習，我也很高興大家也建立了line群組，課程過後大家還保持並聯絡分享一些資訊。

Q：學員對於課程有怎樣的回饋？

Christopher：有幾位同學反饋說我分享新加坡的例子，或是新加坡企業的運作方式，他們覺得很有幫助。尤其一些同學是在跨國企業就職，也有分公司在新加坡，所以對他們來說我的分享會幫助到他們更瞭解新加坡的資安。也有同學回饋說他很高興可以聽到不同行業的分享，因為大家可能來自金融業或製造業等不同產業，所碰到的問題也很不同。其實做資安不是一板一眼的方式，透過討論大家可以互相學習，尤其是對於比較不成熟的企業，他們也可以向成熟企業模仿，並知道如何漸漸的去效仿他們的作業方式。

👉索取EC-Council CCISO資安長課程課程資料

👉開課時間查詢

本課程是為了培養專業資安經理人所設計的認證課程。其課程內容由資訊安全治理的角度出發，由上而下規劃，包含資訊安全管理與相關知識內容。其切入的層面，由資訊安全治理、管理與稽核三個層面切入，並從組織營運的角度思考資訊安全，藉由策略規劃、專案的執行與維運落實資安。並且透過介紹資安相關職能，加強資訊安全管理的能力。

* 此課程為「數位發展部資通安全署」認可之資通安全專業證照