這一篇在2023年5月25日刊出的"Evolving Role of the CISO: From IT Security to Business Resilience",探討了資安長對董事會、經營團隊的關係,以及其職位期待的變化。在台灣上市櫃公司開始逐步設置資安長趨勢下,值得有興趣的人士瞭解。
華爾街日報去年報導說,公司資安長的員工要向科技團隊以外的高階經理人報告,就是說,越來越多資安長要向執行長報告,而非資訊長。其原因在利益衝突。簡單說就是「你不能治理你的老闆」。
這麼做好處是簡化流程,所有資訊安全報告線集中在一位領導人手上,能直接報到董事會,可提高網路安全風險問題的重要性、盡快解決,但缺點是,若董事更迭頻繁,就會缺乏一致性。
資安長現在負責範圍擴大,從資料保護,到甚至實體安全。很多組織在疫情下遠端辦公,因此現在的資安長還要保護資產、人事。
今日資安長必須持續留意數位資源帶來的快速變化威脅。因此組織有一位深具經驗、能力且與時俱進的資安長,越來越重要。
Gartner的研究顯示,資安長缺乏企業伙伴的信任,某些會感覺他們價值只有監理遵循,而非推動企業成功不可或缺的角色。因此資安長工作需要從科技議題,轉變為整體業務討論才行。
最近幾年,因資料外洩與網路滲透越來越盛,提高了資安長報告方法的風險。資訊長角色本質是保護科技性資產,而執行長相反:是要從公司企業局勢更大角度來思考。從董事會治理與向執行長報告,如此改變報告結構,是讓資安長與資訊長有更緊密的結合。
理想上,資安長會藉由和執行長、董事會成員更多接觸的機會,溝通網路安全對企業決定之衝擊。事實上,資安長在這樣的設定上會更業務導向。「資安長角色,變得越來越超出科技範圍了。」
現代組織結構中的資安長運作,負有幾項責任,包括網路安全監督、設定政策以確保在網路入侵後仍持續營運,以及監督業務單位遵循以外的網路風險。
剛好最近也看到Palo Alto Networks《台灣資安現況報告》,其中在治理面、董事會方面值得注意的研究結果是:
資安信心度方面,企業主對資安人才信心低落。台灣區技術總監蕭松瀛更表示,企業在招募資安人才上,僅有1%有AI專業能力。同時報告指出,超過6成企業需要花費至少一週因應資安事件,時間越長對企業營運影響越大顯示資安體質有待加強。四成企業表示董事會就資安議題討論頻率一年1次以下,顯示多數台灣企業尚未將資安視為重要的營運議題。Palo Alto Networks台灣區總經理尤惠生認為,企業領導者需要將資安視為驅動業務價值的投資。就Palo Alto Networks的經驗,在台灣推廣資安的對象已經從CIO/CISO,向上提升到CEO等級。
網址:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=1054
沒有留言:
張貼留言