在此次安全領袖訪談中,AWS 企業策略總監 Clarke Rodgers 與 Darren 暢談,了解他對資安長與安全長問題的觀點。觀看上面的影片或詳細查看他們下方的對話內容,了解 Darren 的各種領導技巧,學習如何向董事會「推銷」安全性、提倡多元化聘用、支援永續發展以及規劃安全性未來。
認識 NBN Co. (澳洲) 安全長 Darren Kane
Clarke Rodgers (00:08):
Darren,非常感謝您今天加入討論。
Darren Kane (00:10):
Clarke,謝謝您提供此機會。
Clarke Rodgers (00:11):
不客氣。可否請您介紹一下您的從業背景以及在 NBN 擔任的職務。
Darren Kane (00:18):
好的。我是四個孩子的父親,也是個丈夫。我目前是澳大利亞國家寬頻網路的安全長。該公司是一家全資政府企業,為澳洲大約 860 萬個場所提供批發寬頻服務,並且能夠連線至 1100 萬個場所。
我目前擔任此職務已有八年時間。在這之前,曾擔任安全職務長達 11 年半,包括在 Telstra 專門負責企業安全業務。而更之前,我在政府機構、SEC、澳洲證券投資委員會任職 6 年半時間。再往前一點,我在澳洲聯邦警察局任職大約 13 年。因此,近 40 年來,我的職業背景主要是在執法和安全領域。
Clarke Rodgers (01:05):
太厲害了。我面談過很多客戶資安長,了解到資安長的角色會隨著時間不斷演變,準確地說,在過去 10 或 15 年內,安全辦公室的地位一直在穩步發展,成為每家公司都必須擁有的團隊。過去我聽過的一個笑話是,讓資安長留在地下室,只有在絕對必要時才請他們出來。到目前為止,我們安排資安長定期向董事會報告。他們屬於領導層,也是整體業務的一部分。您能否分享一下在自身經歷中如何看待此職位的演變,尤其是在澳洲的情況?
資安長或安全長之間有什麼區別?
Darren Kane (01:44):
首先,資安長的職位非常重要。隨著公司變得更加高效和有效率,建立在技術平台基礎上並進入數位時代,資安長在管理該領域安全風險方面的作用呈指數級增長。但是,這些技術平台上的所有方面也需要關注安全風險。
資安長僅專注於資安的角色實際上幾乎變得多餘。目前,企業要求資安長實際專注於隱私權、事件回應、業務連續性,特別是與營運技術相關的問題。由於我們實際上有用於建置存取點的存取控制系統,以及提出數位鑑識調查要求等,您會發現資安長的職務不斷成長,並且需要處理資訊安全以外的問題。
我絕對會贊成「放棄 I」,也就是「資訊」這個要素。 如果您要在當今的大企業中安排資安長,我相信您不如該有個安全長。我之前提到的所有責任領域,現在都顯得非常重要。值得信賴的內部計劃、隱私權和隱私侵犯、事件回應,這些都是相關的大責任。對於執行長、最高管理層和董事會來說,要真正相信這是一項精簡的工作,由一個人負責所有這些工作的情況並不罕見。此人員現在就是安全長。
我還想補充說明,資安長和安全長在現代公司或現代實體中的重要性已變得極為重要。董事會、最高管理層尤其是政府現在深入了解安全所帶來的風險。因此,負責掌控風險的人員扮演著更重要的角色,並且應該能夠表達和傳達風險,以及管理和領導風險的應對。
Clarke Rodgers (03:57):
首先,我喜歡「放棄 I (資訊)」的人員。 我們需要把這句話印在 T 恤上的某個位置。但稍微回顧一下,您談到了管理組織的整體風險。在擔任安全長或資安長的職位時,您如何取得下列平衡:組織從業務角度創新和取得成功的需求,以及從安全風險、合規性和隱私權角度需要完成的所有事情? 您如何「推銷」安全觀念給企業領導者,同時仍然為客戶進行創新?
如何在不過分強調風險的情況下「推銷」安全性給董事會?
Darren Kane (04:40):
這是一項挑戰,這一點毫無疑問。我認為過去我們都曾為此感到內疚,包括我本人。實際上,我不斷地要求企業理解並認識到我們實際上要承擔或負責處理的風險。在此期間,我們通常會誇大風險,並會要求企業透過進一步的資源支援或實際的資金支援來確實地解決風險。我所說的資源顯然是指人力。
這也是高層對我們所管理風險的認可。我認為這種方法在一段時間內發揮作用,同時我們實際上正在做出各種努力以確保企業理解並認識到風險。但最近,具備卓越能力的董事會以及傑出的最高管理層對安全風險有了絕佳的理解。他們提出的問題是,我們要採取什麼措施來控制風險,以及如何在可控範圍內管理它?
就您的觀點而言,如果您繼續將風險視為災難,那麼無疑會讓管理層感到厭倦。因此,我的方法是與支援的最高管理層和確實理解的董事會實際合作,幫助他們了解良好的安全成熟度、強有力的態度和資訊衛生的重要性。以及由此帶來哪些優勢和機遇。事實上,如果最高管理層確信我們正在管理風險以將風險限定在可控範圍內,那麼他們是否會轉移資金,將其用於業務的其他方面,也許是恢復能力?
Clarke Rodgers (06:21):
沒錯。
Darren Kane (06:21):
他們確實可以在晚上安心入睡,並專注於人力等其他問題嗎? 我的方法是,安全應該被視為推動因素,而不是起到反作用的事物或阻礙因素。可能最恰當的比喻是,如果可以將實體視為高效能的汽車,而執行長是司機,那麼人們會認為汽車上的煞車,也就是安全團隊,是讓汽車停下來的事物。這就是對我們職位最常見的理解。
我不同意這一觀點。我相信,煞車的作用是讓執行長 (司機) 可以將汽車帶到其極限的邊界。
Clarke Rodgers (07:06):
也可以說是更快速地行駛。
Darren Kane (07:07):
汽車的效能達到極限,其基礎是司機有信心並知道他們可以在必要時踩下煞車並讓汽車停下來。因此,實際的安全團隊使企業能夠充分發揮效能。
Clarke Rodgers (07:22):
我喜歡這個觀點。非常有趣。那麼,您會親自向董事會報告嗎?
Darren Kane (07:25):
我經常透過條例委員會報告,並且偶爾會臨時加入董事會,但肯定每年會按要求報告兩次。很明顯,我會直接向最高管理層報告,並且經常需要如此行事。
Clarke Rodgers (07:40):
什麼樣的資訊 (不涉及具體細節) 是董事會現在感興趣的資訊,或者是最高管理層現在感興趣的資訊? 因為多年來,此類資訊是:「我已經修補這麼多台機器,我們有許多漏洞。我加入新的安全性軟體,希望消除這些漏洞。」 他們是否仍然對這種技術問題感興趣,或者您是否以不同的方式向他們傳達風險?
Darren Kane (08:10):
我認為自己正在以不同的方式傳達風險。您剛才描述的內容非常精細化,更多的是向執行委員會提出管理報告,而不是向董事會報告。但我是安全長,因此我對 NBN 的所有安全風險都承擔企業責任,而企業擁有批發存取 860 萬個場所的資料。在澳洲的所有資料中,有 85% 至 86% 會通過我們的網路。
Clarke Rodgers (08:39):
太厲害了。
安全長向董事會報告時應使用哪些指標和措辭?
Darren Kane (08:40):
向董事會和最高管理層通報情況時,我會採取非常全面的方法。如果董事會要求具體介紹某件事,我會提供更精細的資料。但在當今的環境下,地緣政治問題、威脅環境、烏克蘭問題、印太問題、供應鏈問題等都非常重要。顯然,在全球各地,網路風險、民族國家和網路犯罪都是重大的問題。
因此,我可以報告一系列非常廣泛的問題。如果最高管理層特別詢問網路安全問題,我當然會提供一些相關細節,以及我們如何藉由控制措施來管理問題。但有時,我會嘗試對所報導的內容保持更廣泛、更全面的看法。
Clarke Rodgers (09:36):
您通常會依據損益和資金來量化風險嗎? 我想請教的是,如果我是董事會成員,那麼會有什麼樣的措辭,以及該如何適應對方的思維?
Darren Kane (09:52):
這是很不錯的問題。如您之前所說,這在傳統上是一個艱難的指標。但我認為未來前景在於定量分析和以業務語言實際識別風險的能力。實體實際上依賴於資金和理解力來運作,其中理解力的拼寫是 S-E-N-S-E。我認為,在向董事會、執行委員會或任何最高管理層通報情況時,使用「受攻擊面」、「內部威脅」、「壞人」等語言都是不合適的。 即使是我們產業中最新的範例和趨勢 (「零信任」) 也不恰當。
Clarke Rodgers (10:32):
沒錯。
Darren Kane (10:33):
我的工作是讓董事會和任何合作的人員相信我。嘗試使用一個對我來說幾乎是破壞和平的字詞確實是糟糕的作法,但可讓管理層知道我想努力做些什麼。我認為採用定量分析並使用資金來實際識別總體風險與控制成本,然後確定剩餘風險,才可能是最妥善的方法。我還沒有駕馭這一點,但這無疑是我正在做的事情。
Clarke Rodgers (11:02):
太棒了。稍微做出轉變:妥善安排人員,對吧? 我還沒有就此事與資安長或安全長溝通,他們對為其工作的安全人員數量感到滿意,大家都覺得:「這樣就夠了」。 我們總是可以安排更多人員投入其中。我曾與一些人交談過,他們對於如何在整個組織中擴大安全團隊規模而不實際聘用額外的保全人員有不同的想法。如果安全人員有限,您在 NBN 採取哪些舉措才能真正為每個人以及整個企業確保安全性?
您如何針對自己的安全計劃招聘和留住合適的人才?
Darren Kane (11:46):
我認為續約和人才留任都一樣重要。實際上,在某些方面,我的重點在於續約。在人才留任方面,我可以提供的資金有限。我僅能提供有限的進步空間、發展和其他機會來留住人才。
最終,產業需要大量人才。如果我擁有人才,而現在是他們離開的時機,我會祝他們好運。我的工作是確保透過繼任和人才管理妥善安置剩下的人員,真正被組織吸引的人員將能夠填補此空缺。因此,我的工作重點是畢業生計劃和最近的實習機制,這是我非常自豪的成績。如果有些時間,我想很快地向大家介紹一下。
Clarke Rodgers (12:35):
請說。
Darren Kane (12:37):
我們認識到,我們的畢業生和實習生需要更豐富的多元文化。因此,SLT 和安全團隊的自身成員瞄準了 Box Hill TAFE,也就是社區大學。這是坐落於維多利亞州墨爾本的 Box Hill TAFE,我們為想在網路安全領域發展職涯的畢業生提供實習機會。我們嘗試瞄準尋求第二職業或重返工作崗位的人員,碰巧我們有五位出色的女性 (她們有的是因為其他問題重返工作崗位,有的是因為身為全職母親等因素),她們過去沒有任何網路安全的相關經驗。
Clarke Rodgers (13:18):
太厲害了。
Darren Kane (13:19):
我們最初為她們提供了為期六個月的實習機會,即使在目前的情況下,我們也希望能延長此實習時間。我們的目標是確保如果有機會僱用她們,我們就會立刻給聘書。但如果無法僱用,我們實際上會提供她們 12 個月的產業經驗,這樣當她們申請我們外部或整個企業的職位時,自己的簡歷就會有這些經歷。我很高興地知道,其中一位最近被一家四大諮詢公司選中。
Clarke Rodgers (13:46):
這太妙了。
Darren Kane (13:47):
而且,我們正在盡可能地安置其他實習生。在與這些實習生或這些女性交談時,您會發現他們的能力都非常強,並且正在尋找就職機會和超越自身的機會。我認為這是我們整個產業在全球範圍內應該學習的範例,這代表您在企業中僱用的大多數人都需要具有好奇心和良好的工作態度。他們不一定要具備硬技能,因為我們都知道公司其實是出於態度而僱用他們,而技能可透過培訓來培養。
因此,簡而言之,我的工作重點是續約而不是保留人才。我對安全團隊成員感到非常自豪。現在,墨爾本大約有八九名資安長透過 NBN 前來工作。
Clarke Rodgers (14:37):
真不錯!
Darren Kane (14:38):
是的。因此,從我的角度來看,我們為強化產業所付出的努力與建設 NBN 的努力同等重要。
多元化為安全團隊帶來哪些優勢?
Clarke Rodgers (14:47):
您關於實習計劃的故事很不錯。如您所知,我與很多資安長交談過,他們談到了團隊的多元化、觀點的多元化、背景的多元化、經驗的多元化。您可以分享一些關於團隊中這類多元化的資訊嗎? 並不是每個人都擁有電腦科學背景,也並非每個人都是超投入的安全研究人員。也許您任職過人資部門,也許您具有財務背景,但最終成為了一名出色的安全從業者。
Darren Kane (15:19):
我又笑了,因為您的問題正好也是我關注的重點。我非常相信,如果您要保護一個村莊,就需要各行各業的村民來共同努力。我有一個很不錯的故事。一位同事聯絡到我。疫情封鎖期間,他在我們的國家航空公司之一任職。他是一位非常資深的機長,負責訓練其他 Airbus 機長。他當時遭到解僱。他最終前往一所 Box Hill TAFE 的社區大學接受培訓,並且在 LinkedIn 上聯絡到我。這是個有趣的故事。
因此我明確回答說:「我感興趣。」 並且表示:「那麼,您要去哪裡?」 在我不知情的情況下,他隨後在 NBN 申請到一個職位,我們以合約方式聘用了他。
Clarke Rodgers (16:08):
了解。
Darren Kane (16:09):
他熱愛飛行,但之前曾經在西澳執法部門工作。因此,與我們的崗位存在一定的交集。
Clarke Rodgers (16:19):
您有人脈。
Darren Kane (16:20):是的,人脈。因此,我們給了他一份 12 個月的合約,而他所擁有的只是在 Box Hill TAFE 為期 12 個月的培訓,也就是證書課程。顯然,無論是作為領導者還是管理者,他都具有出色的能力,而且還擁有駕駛 Airbus 和 Boeing 飛機的硬技能。
非常成功的生涯。簡直是該職位最合適的人選。我非常希望讓他全職工作。疫情結束後,我們恢復到正常的狀態,也就是試著回到正常的生活方式。正當他準備接受我們提供的職位時,他收到邀請,可以回到航空公司擔任永久資深機長的職位。一篇很棒的文章介紹了他在此次經歷之後重返空中。
Clarke Rodgers (17:14):
哇。
Darren Kane (17:15):
是的。不錯的範例,正如您所說。這與經驗和能力無關。而是與溝通技巧、實際參與的能力以及學習的意願密切相關。我發現,如果能找到擁有這種或所有這些特質的人,您就會取得成功,因為他們所尋找的只是一個機會,並且機會伴隨他們一起成長。
Clarke Rodgers (17:41):
然後,不同的觀點對安全部門的各個部分都非常有幫助。
Darren Kane (17:46):
當然。其中一件事在澳洲並不那麼重要,因為我們在語言技能方面並不那麼多元化,但我們發現,越來越多的人認為,出身的多元化、宗教的多元化,當然還有性別的多元化正變得非常重要。如果您是一位稱職的領導者和經理,就會了解多元化的重要性以及這類文化為團隊帶來的優勢。
安全如何促進永續發展並消除澳洲的數位鴻溝
Clarke Rodgers (18:13):
NBN 擁有大約 860 萬個客戶,加上您擁有的所有資料中心,以及技術不斷擴展到每個人的生活中這一事實,永續發展在 NBN 管理其資源和思考方式中發揮何種作用,另外又是如何影響客戶?
Darren Kane (18:34):
如果您考慮我們在 NBN 提供的產品,它可讓人們在任何地點以及在家中工作。因此,您會面臨碳足跡問題,也會面臨無紙化辦公室問題。我們在有些地點不會留下碳足跡,因為我們正在使用技術來實際改善此問題。
我們有 860 萬個連線的場所,其中可能有許多人在家中工作。但我認為,這對我們來說是一個填補澳洲數位鴻溝的機會,可為每個需要存取權限的人提供此類許可,同時也確保我們可以利用技術來減少碳足跡。
如果您思考在家工作的能力,我當然相信,從基礎設施的角度來看,在最近的新冠疫情封鎖期間,拯救澳洲經濟的不是公路和鐵路,而是連通性。
Clarke Rodgers (19:33):
確實如此。
Darren Kane (19:34):
人們透過這項技術有機會學習新的工作方式。顯然,對於更多生活在澳洲偏遠和農村地區的人來說,混合或遠端工作的能力將會增強,人們不用天天通勤上班,從而減少碳足跡。
從我的角度來看,我可以看到技術以及我們未來實際利用技術的方式,特別是透過連通性,實際上肯定會減少碳排放並提升永續發展能力。
Clarke Rodgers (20:09):
不客氣。我知道您並沒有水晶球,但我相信您說過,您已經在安全產業任職近 40 年或剛好超過 40 年。您認為五年後我們會談論什麼內容?
為澳洲和世界各地安全的未來做足準備
Darren Kane (20:26):
2025 年,我將年滿 40 歲。我認為自己從未經歷過我們目前面臨的威脅。我認為,身處此產業的我們無法理解生成式 AI 和機器學習將為產業帶來的機遇和技術進步。我認為,如果有的話,這些技術也會加劇威脅,因此這真的很令人興奮。
我認為資料和資料量將呈指數級增長,並且我們有能力妥善管理。我的心中有各種各樣的擔憂,即要確保社群不會將安全風險留給他們付費投入安全工作的人員處理。這說得通吧? 我的理念是,安全現在將成為每個人的責任。
Clarke Rodgers (21:34):
非常有趣。
Darren Kane (21:35):
您不能說自己是安全長,並且團隊現在承擔了風險,因為這種風險只能透過確保參與該領域的每個人都在可控範圍內來進行管理。務必讓清潔工鎖上身後的大門。務必讓忙碌的 PA 不會無意中點按某個連結。務必讓我們防禦體系中的網路安全專業人員或資安長都重視風險管理。在未來三到五年的發展過程中,所有這些人目前都有責任確保他們理解並了解如何實施控制措施來管理風險。
我們應該鼓勵這些人做的一件事就是,當他們認為自己可能發現異樣或出了某些狀況時,請務必大聲說出來,以便我們解決問題。網路釣魚演練和其他事情都是學習經歷的範例。這不應該是一種紀律經驗。
Clarke Rodgers (22:37):
如果這將成為未來的狀態,那麼從安全文化的角度來看,您現在正在採取哪些措施來將這種心理力量妥善融入安全之外的職務中,以便他們時時顧及安全?
Darren Kane (22:54):
我認為最重要的是,我們不會過度誇大風險。我會嘗試著重於優點和機會,而不是不斷地說:「因為有風險,所以不要這樣做。」 回到之前的汽車比喻。如果您需要的話,可以輕踩煞車,但請開車出門享受生活。
Clarke Rodgers (23:13):
非常有趣。Darren,非常感謝您參加我們今天的談論。
Darren Kane (23:15):
這是很不錯的機會。太棒了。感謝您!
領導者簡介
Darren Kane
NBN Co. (澳洲) 安全長
Darren Kane 自 2015 年以來一直擔任 NBN™ 的安全長。在他的領導下,NBN 安全團隊已成為實體和網路安全融合中心,使澳洲最大的關鍵基礎設施擁有者能夠更妥善地保護自家人員和資產免受不斷變化的威脅。在加入 NBN 之前,Darren 在聯邦政府執法機構澳洲聯邦警察局和澳洲證券與投資委員會任職超過 19 年。Darren 於 2020 年受任成為迪肯大學理學院資訊技術學院兼任教授。Darren 擁有工商管理碩士學位、金融市場專業文憑,並畢業於澳洲公司董事學會。
Clarke Rodgers
AWS 企業策略師
作為一名 AWS 企業安全策略師,Clarke 熱衷於協助高管探索雲端可如何實現安全轉型,並且與這些高管攜手合作,找到最適合的企業解決方案。Clarke 在 2016 年加入 AWS,但在其成為加入團隊之前便已開始利用 AWS 安全的諸多優勢功能。他曾是一家跨國保險/再保險提供商的資訊安全執行長,並負責監管策略部門執行向 AWS 的全遷移工作。
邁出下一步