網路資安的最大挑戰之一，就是如何消除技術與非技術人員之間的溝通落差。擁有共通的語言對網路資安非常重要。技術專家經常從威脅、漏洞及技術解決方案的角度來討論網路資安，這對非技術領導人來說可能太過複雜。然而，非技術性高階主管最關心的議題也許是業務衝擊、法規遵循以及財務風險。

本文將探討 Cybersecurity Compass 如何提供一個能協調這兩種觀點的共通架構，以確保網路資安策略與業務目標一致。為此，我們將深入探索 Cybersecurity Compass 的內部機制。從 Cybersecurity Compass 切入並聚焦資安事件發生之前、發生期間，以及發生之後的三個階段來討論並擬定策略。如此可確保網路資安管理的每一個面向：從主動措施到被動回應及持續改善，都能獲得完整討論，並將這些層面對應到人員、流程、技術，以及領導階層。

網路資安是企業內每一個人的責任，而非只有 IT 部門。網路資安風險應被視為一項業務風險，而非單純的技術風險。這意味著，所有層級的領導人都必須參與對話。有效的領導，對建立資安文化、並確保網路資安策略能融入整體業務營運至關重要。

聆聽與共通語言的重要性

在開始討論方法與如何使用 Cybersecurity Compass 之前，我們先討論一下在參與並指導這類對話時經常遇到的一個問題，那就是：聆聽的重要性。

有效的溝通是一條雙向道，尤其在消除技術與非技術人員之間的落差時。「聆聽」對於確保雙方都能了解彼此的觀點，並且共同有效擬定網路資安策略至關重要。正如 Otto Scharmer 在他的 Theory U 理論中所言，聆聽有不同的層次，這會影響我們互動的品質與成果。

聆聽是最常被忽視的一項領導技巧，優秀的領導者都知道，聆聽不只要聽對方說些什麼，還要了解話中的含意和情緒。藉由主動的聆聽，領導者就能營造一種更包容、更活躍的環境來促進創新與韌性。

當技術專家與非技術領導人在討論網路資安時，雙方都必須覺得對方有聽到自己的聲音。技術團隊必須聽到業務領導人的疑慮和優先次序，才能讓資安措施與業務目標一致。反之，非技術性利害關係人必須了解技術上的限制與必要性，才能體會企業資安的複雜性。

聆聽能促進彼此合作，確保所有聲音都能被聽到並獲得重視。這種包容的作法能帶來更全面、更有效的網路資安策略。當團隊能有效合作時，就能善用不同的觀點和專業能力，更主動地預測及解決潛在的威脅。

主動聆聽有助於建立技術與非技術團隊之間的信任。當非技術主管覺得他們的疑慮獲得認同和解決時，他們就比較會支持並將資金投入網路資安計畫。另一方面，當技術團隊能展現他們了解並重視業務的需求時，就能獲得業務部門的信賴與配合。

常見的偏見、假設與心態

根據我們的經驗，發現還有另一個挑戰是認識並解決偏見、假設和心態的問題，這對技術與非技術人員之間的有效溝通至關重要。以下是一些常見的問題：

技術人員：

‧ 複雜性偏見：假設較複雜的解決方案一定比較好。

‧ 術語假設：喜歡使用技術性術語，並假設每個人都聽得懂。

‧ 解決問題偏見：專注於解決技術問題，卻未考量到業務衝擊。

‧ 獨立性假設：相信網路資安是單純的 IT 問題，而非企業整體的問題。

非技術人員：

‧ 過度簡化偏見：低估網路資安問題的複雜性。

‧ 成本規避：基本上將網路資安視為成本中心，而非必要的投資。

‧ 過度自信偏見：假設現有的資安措施已經足夠，卻不了解潛在的漏洞。

‧ 委任假設：相信網路資安可以完全委由 IT 部門處理就好，不需其他部門的積極參與。

‧ 業務背景偏見：假設技術團隊缺乏業務背景，只專注於技術層面。

圖一 : The Cybersecurity Compass

如何使用 Cybersecurity Compass

既然了解聆聽的重要性，並知道一些偏見以及技術與非技術人員心態，接下來就可以開始使用 Cybersecurity Compass。

Cybersecurity Compass的設計目的是要為網路資安建立一個共通的語言。這套框架最基本的觀念就是：在網路資安的世界裡，我們必須隨時保持警戒，並假設資安事件隨時可能發生。這意味著，我們隨時要以資安事件發生之前、發生期間，以及發生之後三個面向來思考。針對這每一種持續的狀態，我們需要考慮資安工作所需要的人員、流程和技術。為整合這些元素，我們需要有一些共通的問題來引導我們的討論。

我們將從 Cybersecurity Compass 切入，聚焦資安事件發生之前、發生期間以及發生之後的三個階段來進行討論並擬定策略。如此可確保網路資安管理的每一個面向：從主動措施到被動回應及持續改善，都能獲得完整討論。為此，我們將深入探索 Cybersecurity Compass 的內部機制。

資安事件發生之前：主動的預測性網路資安風險管理

圖二 : 資安事件發生之前，主動的預測性網路資安風險管理

在資安事件發生之前主動採取一些措施非常重要，此階段最重要的是要了解「問題不是資安事件會不會發生，而是何時會發生」。對話首先應從可指引策略的一些關鍵問題開始：

人員：誰該參與？

‧ 哪些是網路資安計畫當中的關鍵人員？

‧ 我們如何訓練員工辨認及回應網路威脅？

‧ 我們企業定義了哪些網路資安角色與責任？

‧ 誰負責每天檢查我們的網路資安風險？

流程：該怎麼做？

‧ 如何找出並解決網路資安風險？

‧ 多久檢查一次網路資安風險？

‧ 有哪些措施可以讓系統隨時保持更新？

‧ 如何隨時盤點及情境化數位資產，並評估其價值？

‧ 如何追蹤我們的網路資安風險？多久評估一次？

‧ 目前的資安風險程度為何？我們與業界其他企業相比如何？

‧ 如何管理我們的網路資安風險，還有，我們有什麼長期管理計畫？

‧ 如何提供業務衝擊與情境來計算我們的網路資安風險？

‧ 如何計算所有數位資產的網路資安風險？

技術：需要什麼工具和技術？

‧ 使用什麼工具來監控我們的網路資安風險？

‧ 使用什麼工具來蒐集威脅資訊，並監控我們的系統？

‧ 如何確保我們技術的安全？

資安事件發生期間：被動的防禦式偵測及回應

圖三 : 資安事件發生期間，被動的防禦式偵測及回應

在資安事件發生期間，偵測及回應至關重要。此處的對話重點在於企業偵測及回應資安事件的速度及成效。指引此階段對話的關鍵問題包括：

人員：誰該參與？

‧ 我們的事件回應團隊有誰？

‧ 我們在事件發生時如何與利害關係人溝通？

‧ 我們是否擁有一套明確的事件回應指揮系統？

流程：該怎麼做？

‧ 我們的事件回應計畫為何？

‧ 如何即時偵測及分析可疑活動？

‧ 如何偵測及回應所有數位資產上的活動？

‧ 我們隔離受害系統的程序為何？

‧ 我們的平均偵測時間（MTTD）及平均回應時間 （MTTR） 如何？

技術：我們需要什麼工具和技術？

‧ 我們使用什麼監控工具來偵測資安事件？

‧ 我們如何確保我們的事件回應工具確實有效？

‧ 我們的系統能否對潛在的資安事件發出即時警報？

資安事件發生之後：復原及改善網路資安韌性

圖四 : 資安事件發生之後，復原及改善網路資安韌性

資安事件發生之後，對話的重點將變成復原與持續改善。對話內容應包括企業將如何復原，以及從中學到什麼教訓讓我們能提升未來的韌性。此階段的關鍵問題包括：

人員：誰該參與？

‧ 由誰負責帶領復原工作？

‧ 我們如何支援受影響的員工和利害關係人？

‧ 事件之後該舉辦什麼教育訓練或意識提升計畫？

流程：該怎麼做？

‧ 該採取什麼步驟從資安事件中復原？

‧ 如何執行事件後續分析？

‧ 根據我們所學到教訓，流程可以做哪些改善？

技術：我們需要什麼工具和技術？

‧ 使用什麼工具來復原系統與資料？

‧ 如何更新技術以防止未來再發生資安事件？

‧ 備份及復原解決方案是否有效？

挑戰假設

為了有效運用 Cybersecurity Compass，持續挑戰我們的假設至關重要。如此能隨時確保策略的完善，並能適應不斷演變的威脅。以下是一些可協助我們在人員、流程及技術方面挑戰既有思維的問題：

人員：

‧ 我們是否已將所有必要的利害關係人納入網路資安計劃與應變工作當中？

‧ 我們的訓練計畫是否隨時保持更新並解決最新的威脅？

‧ 我們的事件回應團隊是否有能力迅速有效地採取行動？

‧ 是否有適當的人員帶領並支援我們的復原工作？

‧ 還有誰該參與我們的網路資安策略？

‧ 我們是否有效地留住網路資安人才？

‧ 我們如何確保網路資安團隊的持續訓練與發展？

‧ 是否有任何尚未考慮到的挑戰可能會影響我們的人員？

流程：

‧ 我們的風險評估與管理流程是否有效並定期進行測試？

‧ 我們的流程是否符合產業最佳實務原則？

‧ 我們的事件回應計畫是否定期測試並更新？

‧ 是否具備有效的威脅偵測及隔離流程？

‧ 是否有執行徹底的事件後續分析，並實施改善？

‧ 多久會根據學到的教訓更新一次復原計畫？

‧ 多久會測試一次流程？

‧ 是否可以採取一些更主動、更預測性的作法來管理網路資安風險？

‧ 是否有任何尚未考慮到的挑戰會影響我們的流程？

技術：

‧ 我們是否正在使用市面上最棒的威脅偵測及監控工具？

‧ 多久評估並更新一次我們的資安技術？

‧ 我們的監控工具是否有效，並提供適時的警報？

‧ 我們的事件回應工具是否能有效率地防範損害？

‧ 我們的復原工具和備份解決方案是否有效可靠？

‧ 我們如何更新技術以防止未來再發生資安事件？

‧ 我們是否使用了適當的技術？

‧ 是否有整合我們的技術來提升效率並降低複雜性？

‧ 我們是否有消除障礙來確保技術平台之間的整合與通訊更順暢？

‧ 是否有任何尚未想到的挑戰會影響我們的技術？

這只是一個開端...

Cybersecurity Compass 是一套強大的工具，能消除技術與非技術人員在討論網路資安策略時的落差。只要企業能聚焦資安事件發生之前、發生期間，以及發生之後的階段來解決人員、流程及技術方面的關鍵問題，就能實現一套全方位的網路資安風險管理方法。擁抱資安事件無可避免的心態，並為此做好萬全準備，就能大為提升企業對抗網路資安威脅的韌性。企業若能將 Cybersecurity Compass整合至策略當中，就能有自信且有效地應付網路資安管理的複雜性，確保所有利害關係人的彼此合作與互相理解。請記住，網路資安是每一個人的責任，而有效的領導是建立資安文化的關鍵。