資安LEAP班 金融業資安長培育搖籃

CISE啟動！

為提升國內金融體系的資安防護能量，台灣金融研訓院啟動CISE，提供金融資安高階主管核心職能學程，被譽為「資訊安全的LEAP班」，獲得各界熱烈迴響。

在疫情肆虐下，全球各企業紛紛加快數位轉型步伐，大舉擁抱5G、物聯網、AI（人工智慧）等科技，卻也讓來自資訊安全的威脅激增，加上金管會2021年底正式要求，國內資本額超過100億元新台幣、前50大市值（台灣50指數成分公司）的上市櫃公司必須設立資安長，並按照公司規模來配置一定比例的資安人員，讓企業對資安高階主管需才孔亟，掌管金流、受到高度監管的金融業尤其明顯。

為了提升國內金融體系的資安防護能量，替業界培訓出能符合國安級水準的優秀資安高階主管，由金融研訓院芬恩特聚落與財金資訊公司合辦、F-ISAC（金融資安資訊分享與分析中心）協辦，2020年首度登場的金融資安高階主管儲訓計畫（Cybersecurity and Information Security Executive Program, CISE），提供為期3個月的金融資安高階主管核心職能學程，由於陣容華麗，課程兼具全面性、系統性，被譽為「資訊安全的LEAP班」，也獲得各界熱烈迴響。

CISE課程規劃以金融業所需的資訊安全預防、治理規劃及網路禦敵應有的知能為主，內容包含「資安治理」、「資安管理」、「資安維運」、「資安規劃」、「案例研討」5個模組，每個模組皆邀請多位業界的重量級人物來授課，並在研習課程中穿插議題討論、課後作業研討及期末提案報告，各組模擬國內銀行資安長及其經營團隊、資安攻擊方與監管單位的角度，互相交流答辯，磨練邏輯分析能力及緊急應變的臨場反應。

上過CISE班的學員異口同聲表示，該課程內容精實，而且給他們許多全新啟發。日前在第一期結訓，且表現優異的土地銀行資訊安全處副處長宋宜蓮、上海商銀資訊安全處經理周濟、星展銀行資訊暨營運處資訊安全部資深副總裁李嘉銘三人現身分享這次寶貴經驗。

上海商銀資訊安全處經理 周濟》 Top-Down思維 關注「全球風險」

周濟從資安技術人員一路做起，以前執行工作都是Bottom-Up（由下而上）的邏輯為主，但上過這次課程後，獲得截然不同的思維，「之前都是以縱深防禦、監控及回應事件等資安工作層級為主，課後我學習到Top-Down（由上而下）的全新思考方式。」

Bottom-Up指的是資安人員容易陷入「補強」邏輯，哪裡有漏洞就補哪裡，但Top-Down思維是從「全球風險」的最高層次開始關注，再進一步探究各國的因應政策，最後才順勢推出實用的資安產品，如此方能打好根基，真正裨補闕漏。

國內知名資安防駭專家臧柏皓所上的「資安策略思維及戰略規劃」也深受學員們贊許，像是他提到「資訊安全是尋找動態與平衡的過程」，讓周濟印象深刻，之後不斷提醒自己如何在有限的時間及資源內，在各影響資訊安全的因素之間取得平衡。

另外，資安背景出身的人對「木桶理論」無不耳熟能詳。該理論指的是「好幾根木板圍成的木桶，最大的裝水量取決於最短的一根木材」，只要其中一根比其他的短，水超過此高度的話，就溢出來了。該理論接近「最脆弱連結」、「阿基里斯腱」（希臘第一勇士阿基里斯唯一的弱點就是腳踝，亦即某人的最弱項是關鍵）的概念，不論是哪一項，都說明了資安防護的各環節水準必須一致，只要「資安技術」或「資安管理策略」其中一個不符合標準，就是致命弱點。

周濟說，自己學了木桶理論許久，但臧柏皓的課才讓他領略到完整的理論架構，裝水量的關鍵在於「木桶底板」和「木板間隙」。木桶底板代表企業的基礎資安能力，底板夠大，能容納的水才會多；木板與木板間有縫隙，唯有加強桶箍，方能打造出一個無漏洞的容器，亦即強化跨單位的協同合作，除了要將資訊、資安單位的角色做出明確定義外，各單位的分工也必須夠精細。

土地銀行資訊安全處副處長 宋宜蓮》 落實資安 管理60％、技術40％

宋宜蓮也說，這門課讓她強烈體認到，要落實資訊安全的話，管理及技術皆要兼顧，而且管理占比多達60％，技術占比40％，「這一點讓我實在受用，可以用來內化教育同仁，因為IT及資安同仁會認為做好技術最重要，卻容易抗拒做那麼多制度面、管理面的工作，忽略了駭客的功力和人性的問題，都不是單靠科技就能解決的。」

在多間大學授課的數位鑑識軟體En Case國際認證講師許晉銘在「系統安全與弱點管理」課程中介紹了資安攻擊的三元素：「動機」、「方法」、「脆弱點」。學員們獲得的啟發是，資安人員無法限制「方法」，也頂多只能管理「脆弱點」，不可能完全殲滅，因此能做到的就是由「動機」下手。目前不少資安應用在實務上都參考這種「消除動機」的方式，比方說網路交易限制本人，或是某些券商取消網路複委託交易，減低駭客的攻擊動機。當然，「增加攻擊者麻煩」雖能有效降低成為受攻

擊對象的機率，但通常也會增加客戶的麻煩，這就需要兩害相權取其輕的智慧了。

「一般上課方式通常只與老師互相交流，CISE上課方式有很大的不同，讓我們藉由討論與小組報告方式更融入上課內容，也能和同組學員更熟悉，大家交流經驗、交換意見，借鏡取經。」宋宜蓮以感恩的心情道，非常感謝本次同組一起上課的各銀行菁英，在這段時間共同努力完成各項作業及報告，連假期都利用LINE或mail互動溝通研討，最後同心協力贏得團體獎第一名，整個學習訓練過程，她真切感受到芬恩特設計課程的用心、養成學員們培訓往後資安能力前進的企圖心及同業互相交流，共同為金融業資安努力的向心力！

星展銀行資訊暨營運處資訊安全部資深副總裁 李嘉銘》 資安實務應「勤洗手」、「戴口罩」、「打疫苗」

李嘉銘則特別提到組內執行期末專題的過程，讓他畢生難忘，受到上課期間疫情再度崛起影響，不少課程與討論只能透過網路會議遠距進行，要透過線上方式彙整小組成員對5個模組的心得，還要潤稿，本來就不是容易的事。大家因不熟悉相當客氣，在組長持續關懷與付出下，建立團隊默契，在期中報告後將簡報「砍掉重練」，最後順利繳出漂亮且完整的報告成果，獲得很高的評價。

對於日後回到工作職場，如何加強資安防護，李嘉銘做出幽默的比喻：「業界應該『勤洗手』，洗去固定密碼，改用MFA（多重要素認證）登入應用系統；還有『戴口罩』，要東西向網路隔離，避免橫向移動；最後要『打疫苗』，建立應用系統的白名單，打疫苗就像是建立白名單，阻擋病毒發作。」

三位「學長姐們」也一致提醒：務必把握課程中難能可貴的人脈網，日後勢必受用無窮。

建立人脈 日後互相聯防

「除了以當學生的態度認真學習之外，也要敞開心胸，好好認識每個金融同業之翹楚，建立人脈，日後能夠互相聯防、協助，這對資訊安全人員很重要。」宋宜蓮說。

周濟指出，本屆CISE課程雖讓他受惠良多，比較可惜的是，不少課程與討論只能透過網路會議進行，雖然往好處來說，可以讓學員們更加熟悉運用不同管道來磨練溝通協調的技能，但同組之間面對面的頻率減少，即使難得見了面也一定得戴口罩，多少衝擊到彼此感情的交流與默契的培養，更不用說其他不同組的同學了，基本上從6月以來就沒有再碰面、交流。

「雖然比較少碰面，但幸好有專題上的協作，成為結識人脈很管用的方式。」周濟指出，日後若是情況允許，除了組員之外，也要盡量與不同組的學員互通有無。資訊安全從來都不應該是單打獨鬥，假如被駭客攻擊，通常被攻擊的一方早就在資訊不對等中屬於劣勢者，若不夠深究自己的問題所在，很難在資安的攻防戰中反敗為勝，成為獲勝的一方。

不過，對於資訊安全這類敏感的問題，企業內部人士難免會有一種「家醜不可外揚」的心態，這也是為何資安部門的人時常陷入單打獨鬥的困境。若能多結識資安領域的人脈，在必要的時候能夠互通有無，將會助益良多，所以在課堂上與同組、同業的夥伴們相識、互動是格外重要的。

CISE不只對外結交人脈有強大的加分效果，相信日後也將提升金融業內部的資安水準。宋宜蓮習慣在課後將課程內有助於公司相關資安制度或工作內容分享給同仁，除了提醒「不要拿昨天的資安策略及武器，來面對明天的資安戰爭」，並強調定期滾動式評估資安策略的重要性之外，於上課期間會在相關會議上提出建議，與同事討論實務上的作法，若是可行，便進行實施，「深刻體會到資安是持續不斷精進的防護及風險管理！」。

可想見的是，如同許多經過LEAP班洗禮的學員，對國內業界有卓越的貢獻，「資安LEAP班」也會成為金融業資安長的搖籃，為金融業務發展提供更安全、穩健的資安防護，也難怪這次課程結束後佳評如潮了。