這是一本跟IT底層技術完全無關的資訊安全指導方針，作者讓我們用全新不同的角度來看待資訊安全這件事。

Why Boards Need to Lead — And How To Do It
董事會(CxO 層級人士)如何去領導企業的資訊安全策略與行動

作者:湯瑪斯．帕朗蒂 Thomas J. Parenty
國際網路安全專家，曾在美國國家安全局（National Security Agency）服務，並對全球其他組織提供顧問服務。

這本書是從企業的高階主管層級(董事會角度)來看待資安這一項議題，而本書中完全沒有以純技術的角度來描述今日企業面對的資安議題，而是以現今企業應該如何以策略(Strategy)來面對資安相關議題。

核心概念:
1.企業投資越來越多在資安設備與方案上為何資安事件仍不斷發生並每一次的衝擊都比之前更大。是不是哪邊錯了呢?

2. 作者認為我們該從電腦/基礎建設/資安弱點的觀點轉變成組織業務風險的觀點。

3. 為什麼做這樣的轉變呢?
   因為修復技術問題是顯而易見的，而且沒有一個公司能夠投入資源去修復
   ”所有”的資安缺陷或相關議題。

4. 從業務活動來辨識資安議題才是企業的合理的解決方案。

5. 將資安議題提升至董事會層級時不應該使用一堆資安術語而應該是有意義的資安討論對話來保護公司的商業活動安全。

6. 全公司上下每個職位角色對資安議題的 動機/獎勵/優先順序,而不是聚焦在一堆資安產品或解決方案上。

董事會高層的資訊安全議題的監管
董事會成員(或高階主管)不需要高深的資安專家的知識只需要量子力學中的觀察者效應就能改變整個公司的資安強度。
作者建議以"數位管家框架" 來管理企業的整體資安治理，其中包含了四項原則與三個責任，幫助董事會高層關於資安議題的整體討論與考量進而做出有效的決定或策略。

四項原則
1.如果你理解就不用詮釋它
— 資安部門相關人員有責任將資安專業知識轉化成董事會成員聽得懂的語言。

2. 資安議題是公司業務活動的風險
   — 所有的資安討論應該是圍繞在公司的這些商業活動會帶來哪些相關的資安風險，定義出在業務戰略及戰術/實際操作可能有的風險。

3. 定義出公司的主要業務的活動帶來的資安議題
   — 從公司的組織到業務活動，從各項獨立的業務功能連串出來公司的主要業務流程在這主要業務流程中辨識出資安問題。

4. 激發全公司員工的資安意識
   — 有效的激勵員工的資安意識與鼓勵員工對公司資安議題的提議。

三項責任
1.風險管理(最重要)— — -有效的管理方式是完全清楚與了解整個公司業務活動的風險與可能帶來的業務衝擊 ，並做出相對應的風險控管(avoid /mitigate/transfer/accept )並且不斷重複去辨識這些業務活動。

2. 持續強化公司全體人員資安意識— — -在公司的組織架構/業務流程及文化中強化資安相關意識並獎勵員工對資安議題的貢獻。

3. 危機領導— — 董事會成員及CXO level層級需要做好各種危機管理準備與各項突發狀況回應。這一事項最好能有專責獨立小組由直接向董事會報告，而且不應該忽略預防性與防禦性的資安相關議題並且能有重大資安議題時有能力進行組織調整與相對的回應。

問題
董事會成員(CxO Level)該問自己的兩個問題
Q1 : 你是否感覺有關於資安的資訊與風險並非真的如此而你也無法真的確認呢?
Q2 : 關於公司的資安決議，你是否懷疑針對你公司的資安需求果真有如相關討論會議中哪麼複雜嗎?

誤導你的陳腔濫調(你常聽到所謂專家們的回答):
回答一: 都是那些不懂資安的人的問題
回答二: 保護資料是很重要的
回答三: 資安攻擊每天都在變
根據上面常見的回答

一: 真的都是人的問題嗎?

我們有沒有去深究員工在真實世界與數位世界裡為什麼有哪麼大的不同的行為。

二: 你的資料保護方式正確嗎?

甚麼是你公司最重要的數位資產?

你的保護方式是正確且有效並真的是減少了風險嗎?

檢視資料傳遞流程並檢視這些傳遞的資料的保護是必要的嗎?這些保護方式是否有可能拖累公司的業務效率?

資訊/資料是要被使用才有價值的。

也許改個方式或流程就不用一直影響業務效率跟花大錢投資資安解決方案的狀況下就有效了。

三: 兩種常見的錯誤

1 花越多錢投資就能得到越好的保護?
2 被一些資安專家告知一些很可怕的且從未見過的資安威脅就急著要防護它?
IT服務越多技術上的漏洞越多是必然的，重要的是你怎麼中和這些症狀。

無視不斷變動的數位世界
資安標準(合規)
Chimera of Compliances(大鍋炒的資安標準)

疑問一:
永遠無法到達的資安標準(或合規)要求?

疑問二:
我們用多種的資安標準來檢視我們的資安是否達到標準(或合規)了?

疑問三:
這多種的標準(或合規)我們是否真的了解它的目的與限制並真的了解套用這麼多的標準之後有無法預期的後果嗎?

標準(合規)的侷限性
侷限一: 要嘛全部的資安標準都套上去，要嘛不套。

一套標準不能套用在所有的產業與所有的公司還有這個公司本身所處的狀況呢?
哪麼制定公司自己的資安政策如何呢?但我們有時時刻刻因應公司的業務變化而去做檢討及修改嗎?
順了姑意逆了嫂意: 業務效率與資安標準(合規)的拿捏。
根據這些標準(合規)我們永遠都會找到不合規的事項。
侷限二:標準總是過時

ISO 27001 第一版是2005年發布最新的是2022版.

“重點不在這些標準符合不了快速變化的資安威脅，而是應付不了快速變化的商業世界。”
因為新的”產品”與”服務”總會帶來”新的威脅”。

例如
區塊鏈的資安, 舊版本ISO 27001版本能夠想到嗎?

侷限三: 導入標準花費大量的人力財力

花費大量的人力物力去搞定資安,用來取得一些資安認證(例如:ISO27001 /PCI DSS等)是不是比較快?

這樣省時又省力外包給這些認證公司就當作我的資安議題已經搞定了?
可以向大眾或公司內外所有人證明我的資安是沒問題的嗎?
果真的如此嗎?有聽過通過這些認證的公司沒有出事過的嗎?

案例: 2014年Home Depot有PCI DSS認證 卻有 五千六百萬筆的客戶資料被偷

侷限四: 主動與被動

出一堆資安標準的好處是,企業都需要去注意及遵守它去保護他們的數位資產與客戶資料。

但也帶來了不好後果: 以為只要符合這些標準我就安全無虞了。全部的人注意力都在法規法令卻失去了整個資安風險的大視野。

資安標準與法規看的是當下的要求,資安保護看的是未來可能的痛點。

員工的動機
常聽很多資安專家說，"資訊安全人人有責"。但從人性的角度來說資安議題關一般員工屁事，這不是他們的日常工作責任與義務的一部分。
如何做到企業全體員工都能對資安有貢獻，取決你如何激勵他們。

員工只想做好他們的份內的工作:
員工只想做得又快又好,資安部門不去了解前端業務面的需求一昧的強加這些資安措施給員工.只會讓員工為了做好他們的工作內容而另闢蹊徑。這種做法資安風險將會大大的增加。

案例:
某產險公司在安裝的DLP產品後未告知相關業務部門或協調造成該部門主要的服務被該DLP給封鎖進而業務中斷。該部門人員為了做好工作就將家裡的電腦帶來公司作業。

為何資安議題被非資安部門的員工無視
因為每個部門的目標不同，例如業務部門想要達成的業績目標或業務績效壓力造成了資安的不利因素，前線業務部門把業績壓力與目標擺得比資安風險還要高。

案例:
三星 Galaxy Note 7 急於上市，忽略了很多安全性問題。導致出貨後很多問題發生(手機爆炸/當機/自動重開機等等)。
最終三星在此一事件上損失了95億美元的營業額及50億美元的利潤。

合乎經濟效益的網路攻擊
不需要國家級的巨額資金才可發動攻擊

案例:
PLC(programmable logic control)缺陷讓HP/Apple的產品都有問題。WannaCry ransomware (加密方式拿來當攻擊)地下網路交易市場可以買到。攻擊武器(DDoS攻擊流量)攻擊武器或方案還有訂閱制讓大家都負擔得起 — HaaS(hacking as a service)。

小結:
了解了網路攻擊與防禦是非對稱式後，有兩個方面可以幫助董事會高層有良好的資安監管機制

1 .哪些是你真的需要去注意的網路資安議題，進而去投資解決而並非每天跟著新的資安技術團團轉。

2. 了解這些資安攻擊的”手法”就可以確認，這些手法在現有的"資安流程"與"管控上"中你是不是這些駭客的目標。

誤導我們的言論
簡介:
外部的資訊如何影響我們對資安的認知與評估各項資安風險。如果你不對該項資安議題了解它的基本原則以及來龍去脈又或者是這項議題的出現針對你公司的狀況問對問題。哪如何正確的解讀這項資訊呢?通常我們有幾種管道獲取這些資訊 — 政府/專業的資安廠商”們”，他們通常透過媒體來發布訊息但除了政府及資安廠商這兩種消息來源，這些訊息是否完整呢?

政府單位發布警訊:
有責任發布預警訊息,但通常可能使大家看不懂或不知道下一步該做甚麼做出的建議是沒有用的。政府只能發布相關的資安訊息但無法整合這項訊息有相關的產業做到聯合防禦。

case : 2018春年美英政府針對俄國針對一款路由器攻擊

若有政府有給予建議，哪你該接受它嗎? :
通常國家層級的資安訊息都是範圍很廣。但在一般商業世界卻不適用，因為政府在意的是國家對國家層級的訊息而非商業世界。商業世界中攻擊目標可能是很精確且非常針對特定的攻擊標的所使用不同的手法，該手法可能套用很多種的工具。

結論:政府的資訊只能提供大範圍但不精細的訊息

資安廠商的訊息:
資安廠商們的競爭激烈，且提供多種不同資安面向的訊息(靠Surveys and Reports)，每個細項的資安攻擊都講得很清楚但只有單點的訊息。

結論: 提供單點的訊息無法做到從點/線/面整體的Big picture， 針對自己公司的整體資安架構是涉及到業務面的。

新聞媒體(例如IThome 或數位時代):
狀況是:
都是報導已經發生的很大新聞(因為才有人要看)，所以大家都知道了。
而正在發生的事則因政府或資安廠商受限保密合約之類的條文不能發布。

小結:
這三種角色受限於各方面的制約或者是本身的商業利益而給予了我們特定但不全面的訊息。我們如何在這些訊息中如何拼湊出全面且完整並符合我們自己的資安landscape呢?