提供您專業技能的最佳管道,IT企業主管唯一推薦

提供您專業技能的最佳管道,IT企業主管唯一推薦

2024年8月5日 星期一

CCISO資安長課程,講師訪談:資安人員須保持開放了心胸


講師介紹
Christopher Lek是南洋理工大學的資訊安全團隊負責人。他在電信、金融業和全球企業等領域擁有超過20年的專業經驗,擔任過治理、風險管理、安全架構和網路防禦等多種職位。為2021首屆CSO東協獎(CSO ASEAN Awards)獲獎的三十位資深高階主管之一。
Christopher除了取得多張認證與講師職位外,也擁有數位鑑識、事故應變、惡意軟體分析和工業控制安全等技術認證,並擔任戰略網路國際研究中心(CSCIS)的高級顧問,與新加坡高級研究和教育網絡(SingAREN)的執行委員會成員。


 Q:擔任一個CISO需要面對哪些比較大的挑戰?

Christopher:我目前身為新加坡南洋理工大學的資安長,不管是在內部或外部的挑戰其實跟普通企業沒有太多不同。內部挑戰的部分,在大學任職相對私人企業風險承受度不同,交涉的範圍也很廣。因為在大學中的人員是有不同的組成,例如有有學生、有教授有教職員。相對在企業中,同事們的知識背景較相近,這個是在大學任職資安長比較有趣與有挑戰性之處。

外部來說,在企業中你可以執行比較嚴格的管控,也可以透過企業文化或懲戒來做管控,但在大學因為我們要推廣學術教育,難免會比較開放,所以我們的策略是把學生網跟企業網分離,這樣才能在不影響學生學習體驗下,也確保我們的資料不被駭客入侵。


Q:您擔任過不同產業、公司的職位,以資安長的角度來看,不同的企業環境中有一套共同的方式能試用於不同的組織嗎?或是每一個組織必須有各自的一套方法?

Christopher:以我這幾年的經驗,不同的領域你最先要瞭解的是它的『風險偏好(Risk appetite)』還有你的回應。在比較受管控的產業如金融業,它上面有監管局,可以做比較嚴苛的管控,所以它的風險偏好會稍微低。而我在GE與Sony就職時,因為公司旗下有許多不同產業項目,包括醫療、保險、能源、航空等,所以在不同的產業下也有不同的要求,如醫療領域就要遵循美國FDA的管控。因此跨國企業最大挑戰,就是不能用一個固定標準去管控。我們亞太地區不同國家的個人隱私保護也會有不同的要求,申報機制也不太一樣。不過總體來講大家都會以GDPR(General Data Protection Regulation)的方向來做一些參考指標。


換一個角度來看,新加坡、馬來西亞或臺灣,這幾年都在發展各自的資安法,涵蓋的行業也有些雷同,像新加坡我們有11個領域,包含金融業、政府、水電等等,當我在參考馬來西亞跟臺灣的法律時,我也發現包括了交通運輸、醫療等。從中也認知到許多重要的基礎設施可能與個人生命威脅息息相關,所以隨著科技的運用,政府意識到需要有資安法來做更好的管控,以免造成人命的傷亡,也避免造成整個社會運作的困擾。


Q:在老師這麼長的從業生涯中,有沒有比較印象深刻的資安事件?

Christopher:大概10年我在Sony的時候,發生了一個重大資安事件,那次我也參與了整個事故應變的過程,那是一個很嚴重的攻擊事件,超過15,000台伺服器被攻擊。我印象深刻,當時一早就接到美國同事的電話,告訴我不要啟動電腦,我一到公司看到的是多台電腦的資料都正在被刪除,而我們也迅速的啟動緊急應變措施,也證明了其實『事件肯定會發生,重點是你要如何應變』。而這一個危機經驗也讓公司意識到資安的重要性,雖然花了好幾個月重建系統,不過整個過程也給我們很好的機會去將系統重建的更加完善,事後整個資安組也獲得了更多的人員與預算上的增加,可以做更完整的對防禦,所以我認為『What doesn't kill you just make you stronger.』


Q:請您給想在資安領域更上一層樓的從業人員一些建議

Christopher:資安行業是一直在轉變的,而且技術也一直在更新,成為一個資安人,你要抱有終身學習的態度,不論是上課培訓,或是在職學習,或者是透過跟同僚接觸來互相學習。我認為在這個職業生涯你要不斷的追求去瞭解新的技術、新的作業方式,更重要的是你要擁有比較開放性的的思維,對來應對我們這行的迅速轉變。

你可能會遇到各式各樣想像不到的挑戰。譬如現在人工智慧(AI)很蓬勃發展,這就像是我們當初網路剛剛興起時,大家對這一塊都不是很瞭解,所以你要開始從事人工智慧的資安,你就要學習什麼是人工智慧,瞭解過後你才懂得如何去防禦。這是一個不斷推你去精進跟學習更多新知的過程,所以不要害怕新事物與挑戰,要有開放的心胸去適應這個快速變動的時代。


Q:今年已經是您第二次來到臺灣教授CCISO課程,這個課程的特色是什麼?

Christopher:在5天的課程中,除了理論上傳授,我們也進行小組討論,我也會分享一些case study。最特別的就是在第五天我們會有一個情境演練,我會模擬一個事件發生,由不同的學員扮演不同角色,比如CEO或者CISO,來面對突發事件的應變。我很感謝大家都很踴躍分享自己的實務經驗,這個課程特色在於不只是有講師在講,更重要的是大家可以互相學習,我也很高興大家也建立了line群組,課程過後大家還保持並聯絡分享一些資訊。


Q:學員對於課程有怎樣的回饋?

Christopher:有幾位同學反饋說我分享新加坡的例子,或是新加坡企業的運作方式,他們覺得很有幫助。尤其一些同學是在跨國企業就職,也有分公司在新加坡,所以對他們來說我的分享會幫助到他們更瞭解新加坡的資安。也有同學回饋說他很高興可以聽到不同行業的分享,因為大家可能來自金融業或製造業等不同產業,所碰到的問題也很不同。其實做資安不是一板一眼的方式,透過討論大家可以互相學習,尤其是對於比較不成熟的企業,他們也可以向成熟企業模仿,並知道如何漸漸的去效仿他們的作業方式。


👉索取EC-Council CCISO資安長課程課程資料

👉開課時間查詢

本課程是為了培養專業資安經理人所設計的認證課程。其課程內容由資訊安全治理的角度出發,由上而下規劃,包含資訊安全管理與相關知識內容。其切入的層面,由資訊安全治理、管理與稽核三個層面切入,並從組織營運的角度思考資訊安全,藉由策略規劃、專案的執行與維運落實資安。並且透過介紹資安相關職能,加強資訊安全管理的能力。

* 此課程為「數位發展部資通安全署」認可之資通安全專業證照

Related Posts:

  • 在COVID-19警戒期間如何保護自己免受駭客攻擊? 在COVID-19警戒期間,網路的便利讓大家不用出門都可以購物,在家中用手機就能訂購任何產品和服務。企業也在自動化上投入了更多資金,以適應現在的WFH(在家上班)文化,然而這些新的改變,也讓許多對於網路安全知識較欠缺罰的人暴露在風險中。 儘管大規模採用各種網路技術是很方便的,但… Read More
  • 道德駭客在雲端運算領域中的角色雲端運算擁有很大的靈活性與優點,如通過實踐虛擬化來低成本、提升協作效率、加速交易、更新與文件的取用速度等,讓雲端運在各行各業中受到極大的重視。根據研究雲端運算市場規模預計將從2020年的3,714億美元增長到2025年的8,321億美元,全球增長率為17.5%。為了降低網路攻擊,並設法保護雲端基礎架… Read More
  • CompTIA Security+考試心得分享,上課推薦/考試準備方法 -資安入門認證推薦涂尹身為一個資安工程師的我,在公司專案的要求下,自覺應該是自我進行Update更新的時候了。任何一個有知識的人只要在4或5年沒有學習新知,就會跟不上時代。各領域的知識變化太快,每隔7年就會折半,除非知識工作者在工作上不斷的學習,否則很快就會落伍(管理大師/杜拉克說)。因此我選擇業界評價不錯的恆逸教育… Read More
  • 為什麼你需要 CND網路防禦專家認證,網路安全工程師的重要性 在疫情時代,網路安全已經到達了緊張極限,面對眾多的攻擊者,想要加強防守,從EC-Council CND網路防禦專家認證課程開始,是一個很好的途徑。 在COVID-19肆虐下,全球人力與工作環境都產生巨大的改變,包括開展業務的方式、與同事和客戶的溝通方式。除此之外,大量的網路威脅… Read More
  • 史上最完整的(ISC)2 考試心得分享:SSCP/CSSLP/ CCSP/CISSP四張資安證照該如何準備? 史上最完整的(ISC)2 考試心得分享 SSCP/ CSSLP/ CCSP/ CISSP 四張資安證照該如何準備? (ISC)2 為非營利性的全球知名資訊安全組織,獨家授權精誠資訊恆逸教育訓練中心為(ISC)2 於台灣的教育聯屬機構,提供台灣資安人員與全球同步的(ISC)2 資安認證教育訓練… Read More

0 意見:

張貼留言