稱職的資安長是業務的促成者

臺灣本土百年老行庫第一銀行在2016年迎來臺灣金融史上最大的危機：金融ATM盜領案，金融駭客透過第一銀行英國分行的語音系統作為跳板，進到臺灣總公司內網後，透過橫向移動，取得關鍵使用者帳號密碼後，植入金融木馬程式，駭客透過遠端遙控方式，並由車手在第一銀行分行ATM盜領八千多萬元。

這起前無古人、後難有來者的ATM盜領案，對第一銀行帶來嚴重的商譽衝擊，但是，直視危機的第一銀行並未因此氣餒，他們透過獵人頭公司，積極挖角當時擔任資策會資安所副所長、兼任國家資通安全技術服務中心主任的劉培文，擔任第一銀行資訊管理中心副總經理一職，跨域挖角補漏洞的作法，讓第一銀行從ATM的盜領危機後，找到新的因應之道。

劉培文當時雖然因為資安專長而被找到第一銀行任職，但由於過往累積的豐富工作經驗，也讓他在當時還沒有資安長的職稱時，便直接接任資訊管理中心副總經理，同時管理資訊和資安領大領域。

爾後，劉培文的資訊、資安專業，在高度依賴資訊系統提供服務的金融業中，更進一步拓展業務掌管範圍，連數位金融以及金融科技的推動，也都成為他的核心業務。

基本上，在沒有內建資安的狀況下所提供的金融服務，無法贏得顧客的信任，劉培文認為，對於金融業的資安長而言，資安會是金融業務的促成者，「沒有資安的促成，就沒有讓人信任的金融服務存在。」他說。

資安長的百日維新

根據調研公司Gartner的「資安長前一百天藍圖（The CISO’s First 100 Days Roadmap）」研究顯示，資安長在任期中，不僅要與各種利害關係人做好溝通外，更把擔任資安長的前一百天，分成五個發展階段，不管是空降或是內升的資安長，都可以在這五個階段中掌握業務關鍵，扮演稱職資安長的角色。

• 第一個階段：準備，資安長最遲在上工前一天，就必須規畫好相關的角色職掌。第二個階段：評估，資安長就任的第一到四周，必須掌握企業內部的資安成熟度。

• 第三個階段：規畫，資安長就任的第三到六周，打造前一百天的工作藍圖。

• 第四個階段：行動，資安長就任的第五到十二周，針對現有的不足，做出一些可見的改善成績。

• 第五個階段：評量，資安長就任的第十一到十四周，提供現有資安流程的確有改善的證據。

對於劉培文而言，資安長的百日維新，是一個讓他熟悉金融業業務運作的階段。他表示，獵人頭公司從2016年7月開始跟他接觸，歷經幾次面試後，他的工作內容也從原本只管理資安，到後來同時管理資訊和資安；其他的，除了要求他必須在10月前，通過金融業對從業人員內稽內控的考試外，就沒有其他要求。

劉培文在11月30日正式上任，便擔任一銀執行副總兼資訊處長的職位，剛開始進來負責資安。

他花了三個月的時間了解金融業的資訊運作，也因應ATM盜領事件，針對銀行的資安架構做調整。當時他的想法是：銀行要有區域中心，資訊集中連回台灣，資安的長期發展上，則看海外發展需求是否要有區域資安中心。但關鍵在於，一旦要把資安架構移出總行，資訊架構就一定要改，包括海外分行的內外網，也必須做良好的切割。

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等，多角化經營並具有國際觀的永續理念。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

不過，目前這樣的資安架構調整的規畫，還沒有實現。他說，光是網路架構調整就花兩年，之後，配合數安處成立，海外分行都必須架設內、外兩道防火牆，確保安全，相關設備都是從臺灣設定好之後，再協同相關的資訊服務業者，赴海外架設。

他也說，這段期間還忙著包括總行伺服器盤點和資安分級、分類，還有許多軟體授權到期的續訂，或針對不再提供更新服務的軟體做調整或升級，目的就是不能讓業務中段。

回顧第一階段，同時兼任資安處長的時候，他透過專業對話，針對資安架構的調整，都可以找同仁了解運作狀況，狀況並不複雜。但等到第二階段，劉培文雖然不需兼任資訊處長，但開始接觸數位銀行處的業務時，當時的數位銀行處屬於法金業務，後來才移到資訊管理中心統籌。

他說，這一年花最多的時間都在數位金融改造上，包括數安處成立，對他而言，數位金融的改造就是銀行業務改造的火車頭，因為直接和營運掛勾，也影響未來銀行的商業發展模式，對此，他也曾經撰寫數位金融轉型的萬言書，寫下他對數位金融的完整規畫。他表示，2021年數位通路交易量，已經超過臨櫃服務的黃金交叉，未來數位金融將成為第一銀行營運發展的關鍵。

接下來，他可以想像的未來，核心系統再兩三年後要調整，資訊架構可能要大改，他評估，光是銀行的數位轉型至少要花七年時間，核心系統改造也要五到七年，資訊、資安和數位金融的業務推動與改造，是一條漫漫長路。

過去的職涯發展都成為開花的養分

劉培文表示，過去擔任資策會資安所副所長，長期督導技服中心，因為技服中心需要協助政府參與各種國際組織，當時也擔任一些國際組織的資安工作小組召集人，也趁這個機會，認識許多其他國家，像是日本、新加坡和韓國做ISO國際標準的人，而這樣的經驗，讓他對於資安長期國際發展，標準發展趨勢等，具有很多優勢。

另外，他幫政府做國家資安規畫，因為參與相關的政策制定，清楚知道政府在想什麼，也能掌握未來政策發展方向，加上技服中心協助政府做很多資安事件的處理，看很多網路攻擊案例，這樣的經驗也讓他對於各種資安攻擊趨勢能有深刻體悟。

此外，擔任資安所副所長期間，劉培文也帶領科專團隊一段時間，讓他可以知道資安業界思維，知道廠商想什麼，產業實務需要的是什麼，各方面的整合經驗，也讓他從資策會到第一銀行後，可以順利無縫接軌。

進來一銀後，劉培文先兼任資訊處處長一段時間，了解實際業務運作，因為每年年底都要做高階策略會議，做完之後，經營計畫每個總行業管單位要做年度經營計畫規畫，光是臺灣就有187家分行，國外40多家分行，需要參加的會議，光是全球經理人會議，各種委員會，不管是總經理主持的，或是部門的月會、季會、資訊發展委員會，還是每週召開的常董會議，每個月召開的董事會，或是每兩週由董事長邀請副總召開的晨報等，種種的會議參與經驗，更讓他可以徹底掌握銀行業務發展的即時動態。

他認為，高階主管擔任或兼任資安長，透過參加各種會議，就有機會了解其他部門在做什麼，了解之後才會思考，他所管理的部門要參與哪些部分、可以做哪些改變。

他從資策會工作開始，到一銀工作後，參加各種會議、內化各種資訊，並轉換成部門工作需要的發展方向，這些經驗都是讓他面對職涯轉換，或是接觸不同業務時，可以無懼的養分。

資安不是真空存在，要跟業務系統連結才有意義

身為第一銀行資安最高主管，劉培文如何界定「資安長」的管理範疇呢？轄下管理的資訊、資安和數位金融部門，彼此又該如何做到緊密合作？他表示，針對各種日常維運作業，必須要清楚界定部門的角色和職掌，每一個部門做什麼事情、掌管哪些業務和系統，都必須一清二楚。但目前最大的困難在於，所有的銀行都在講數位轉型，包括資訊、資安和數位金融部門也都必須做到數位轉型。他說，想像一下，如果資訊、資安和數位金融部門是三家不同的公司，怎麼讓這三家公司緊密合作，就要互相知道彼此的業務部門主管和高階主管，都在做什麼、想什麼，才可能緊密合作。他認為，資安長要知道企業未來業務發展方向往哪裡走，科技會隨之怎麼改變，資訊系統又如何跟著改變，甚至連資安實務也必須有相對應的調整。每一個改變調整都環環相扣，絕對不可能關著門就憑空改變。他說：「資安不會真空存在，每一個改變都跟未來的業務發展方向有關，資安也要跟某一個業務資訊系統連結才有意義。」

來源鏈接：https://www.ithome.com.tw/news/150581

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢