Chuan's Palace

首先必須要有一個觀念，資訊從沒有真正安全過，未來也不可能存在所謂百分之百安全的一天，因為資訊的可被複製性，所以任何行為都可以被偽造或修改，無一倖免。

因此要強化資訊安全，我們必須了解兩件事情，一是了解物理限制，二是了解如何用將這些限制去限制對付資訊安全威脅者。

所有資訊系統及網路技術都存在先天的物理限制，這些限制包含：

(1) 加密參數不可能無限長

(2) 不存在所謂的永遠不可逆或不可重複模擬的加密方式

因此我們所能採取的的做法是

(1) 不斷強化加密演算法的複雜度和加密參數長度

(2) 在破解可逆演算結果平均花費時間前要求使用者更換加密參數

如您所見，要完成這兩個步驟，我們需要做的事情是

(1) 花更多錢買技術來墊高惡意用戶破解該技術的所需花費的時間和金錢成本

(2) 縮短使用者單一認證存續有效時間

因此資安要做得好的兩個必經過程是

(1) 花錢

(2) 造成使用者的不方便

因此在公司內的任何一個資安管理者要考慮的事情也只有兩件

(1) 花最少的錢 : 老闆&投資人

(2) 減少使用者的抱怨 : 同事&老闆

因此CIO在資訊安全管理上的具體工作就是

(1) 不斷要求預算以導入最新的資訊安全解決方案

(2) 定期教育使用者資訊安全觀念與實務

簡而言之，談資安就是談風控。

所以在某種程度上，訓練以數字和新聞有技巧的去恐嚇同仁是每個CIO的必修課之一。

因此相對來說，若能擔任以資安業務為營利目標主體的公司，將較有機會晉升為CEO。