网安长修练GRC基本功 牢牢守护企业关键资产

近年来，网安威胁呈现「道高一尺、魔高一丈」态势，企业若一味固守旧的防御思维，恐怕难以抵挡得住黑客的侵袭。在此情况下，企业对于网安长(CISO)的倚赖程度只会更大、不会缩减；然而CISO如何设在能力与观念上都能与时俱进，不负长官和同仁的期待，协助企业不断提升防御力？毫无疑问，所谓「GRC」(Governance/Risk/Compliance)，肯定是新时代CISO必须驾轻就熟的基本功，而CISO要想带动企业不断精进网安体质，势必要养成GRC文化底蕴。

GRC象徵治理、风险管理、合规。谈到治理，需要依据自己身处的产业别，把该领域已经存在的安全规范(例如医疗业的HIPAA、金融业的PCI DSS)，当作你的基础点，尽全力加以遵循；另外包含美国的NIST CSF(Cybersecurity Framework)、欧盟的GDPR，也很适合连同各个产业规范，一并树立企业的网安治理标竿；但光有这些标准还不够，CISO须设法把它介接到企业核心业务，以增强关键资产的保护力。

至于风险管理，重点就在于「资产盘点」，CISO一定要很清楚企业最有价值的资产是什麽？存放在哪里？现在有多少锁？有没有搭配加密机制？切莫让这些资产曝露于不安全的境地。换言之，企业务必要厘清最需要保护的标的物是什麽、万一被骇会造成什麽影响、发生网安事件的机率高不高；有些东西遇骇机率不算高，但遇上一次就可能让企业倒闭，所以这些资产堪称是「皇冠上的珠宝」，绝对需要有清楚的Guideline与策略来严加守护。

最后谈到合规，企业欲将产品销往哪个市场，就要遵守当地的法令规范，比方说个资保护，CISO必须确保所有程序码、生产流程都符合相关规定；以AWS平台为例，已推出「CodeCommit」全托管源码控制服务，会自动扫描你的程序码，再以机器学习方式提示何处有安全性漏洞，让人们得以克服挂万漏一的惯性，随时把该修正的弱点、提前修正完毕，以自动化的方法帮助企业切实遵循规范，称得上是迈向合规的最佳路径。

你如果认同GRC是新时代网安长务必培养的能力条件，则敬邀您参与2022年3月29日举行的「AWS新时代云端网安长战略峰会-云领网安 · 现代防御营运之道」活动，透过这场知识盛宴的洗礼，帮助你快速掌握GRC的要领，顺势踏上CISO的蜕变旅程！活动报名连结请点击。