兩份對董事會&經營團隊資安人力專長的觀察：(1)Fortune 100很少有公司會把資安長列為高階經理人的；(2)英國僅30％的企業有董事會成員會負責網路安全-2023/09/26

其他報導也有看到，目前就算在歐美國家，會將資安長納入高階管理團隊的風氣還不普遍，資安專家在董事會上是否有席次也不很明確。這一則在2023年7月21日由Brian Krebs所撰述的文章，觀察了Fortune 100公司的狀況。以下是節選一些內容供介紹。

在Fortune 100公司裡，現在只有5家公司會在其網站的高階領導團隊網頁上清楚列有安全專家。而2018年時也是5家，沒有改變。

在2022年對Fortune 100網站高階經理人網頁的回顧裡，只有這五家公司—BestBuy, Cigna, Coca-Cola, Disney及Walmart—有將資安長(CISO)或安全長(CSO)列入公司最高階管理團隊裡。

去年，Fortune 100 有三分之一會把科技長(CTO)納入高階經理人之列；40家上市公司裡有資訊長(CIO)，但僅21家會納入風險長(CRO)。

有趣的是，這些最頂尖公司的其高階領導人網頁所列舉的，是對他們而言值得公布的其高階管理者。比如，有88％會列舉人資長、37％會列行銷長。

不過，行銷(涉及消費者/客戶資料)及人力資源(涉及員工/財務資料)其實都會受到資料外洩影響，值得注意的是，有更多公司並未將安全人員納入最高管理層。

為何這麼多公司不將安全領導人納入最高管理層？可能的一個解釋是，這些員工不會直接向CEO、董事會或風險長報告。

安全長或資安長的定位，傳統上是向科技型的經理人報告，比如科技長或資訊長。但是勞動專家說，如果資安長/安全長接觸不到組織最高領導層的話，則資安及風險問題，很可能就會讓位給提高生產力、或使企業成長的問題。

IANS在2022年調查了超過500個組織，發現約65％的資安長仍向科技領導人報告，比如科技長或資訊長。IANS發現，64％的資安長會向資訊長報告、15％是直接向科技長。

Datos Insights的分析師Tari Schreider說，最大的原因就是，許多大公司的資安長或安全長並不被視為高階經理人，這些職位常不會享有與其他高階經理人同樣的法律及保險保護。

Schreider 說，聽到Fortune 100僅4家公司會把安全人員視為高階經理人，這非常令人震驚。如果公司不打算給予法律保護，那為何要讓他們負責安全？特別是資安長與安全長不應該單獨負責風險，但他們負擔了一大堆責任，而且當組織遭駭時，可能成為代罪羔羊。

2023年初，IT顧問機構Accenture發表了調查14國、15個產業共超過3000位受訪者，探討安全成熟度。Accenture發現，受調查的組織僅三分之一有足夠的安全成熟度，實際能將安全整合進營運的每個面向中—這包含了資安長或安全長向負責整體企業風險的對象報告。

Accenture也發現，僅三分之一受訪者在評估整體企業風險時，「很大程度」會考慮到網路安全。該報告結論是，此凸顯了企業內要讓網路安全成為主動積極、策略必要性上，還有很長的路要走。

資料來源：https://krebsonsecurity.com/2023/07/few-fortune-100-firms-list-security-pros-in-their-executive-ranks/

關於2022年Fortune 100公司高階經理人網頁內呈現安全領導人的普及狀況，亦可參照這份電子表格：https://docs.google.com/spreadsheets/d/1zo5d1in2Q-Pnj2H0TQNnwcbR_we6PFTrFVxXkS8Zk6c/edit#gid=0

(2)英國僅30％的企業有董事會成員會負責網路安全

在網路威脅持續侵擾世界各地企業的時代，英國政府在2023年六月發表全面網路安全漏洞調查，採取了積極主動的步驟來緩解這些風險。該調查對英國各產業網路安全政策、流程及依賴性之現況，提供寶貴的見解。

調查凸顯了一個令人憂慮的趨勢，最近幾年在某些網路保健領域持續衰弱。密碼政策、網路防火牆、限制管理權限與及時軟體安全更新政策全都看到採行的比率衰退。具體而言，調查顯示前述事項在2021至2023年間衰退的百分比分別從79％降至70％、78％降至66％、75％降至67％以及43％降至31％。觀察結果衰退主要來自小企業，而大企業仍維持網路安全實務作法。

調查得來的關鍵指標說明了英國網路安全現況。

該調查指出，有69％的大組織及32％的小公司曾經歷資料外洩或網路攻擊，凸顯了這些威脅的普遍性。

再者，有多達68％的受害者說正在承受網路釣魚攻擊所遭受的財務損失，並強調在防範電郵詐騙上需要有力的保護。另外，認為網路安全最優先的微型企業比例從2022年的80％降至今年的68％。此衰退可能是因為小組織面對成本上升與經濟不確定性。

過去的12個月，11％的企業與8％的慈善機構已經成為至少一次網路犯罪事件的受害者，包含全英國企業有近239萬起各類型網路犯罪以及7萬起非屬網路釣魚的網路犯罪。

意思是排除網路釣魚，企業經歷各種網路犯罪所發生的成本平均是20,900英鎊(將近26,627美元)，凸顯網路事件連帶的重大財務影響。

調查也說明了企業間對事故回應的實務做法。雖然大多數組織都表示願意在網路安全事故時採取行動，事實顯示僅有少數建立正式流程來支持此項行動。值得一提地，研究強調，事故內、外部的報告有指定角色、責任及明確指導方針的重要性。缺乏正式政策及流程是需要持續改善的領域，會提出計畫以監督未來一年的進展。

當我們更深入詮釋調查結果，有些值得注意的趨勢會出現。小組織看來降低了網路安全的優先性，可能是受到成本大增和普遍的經濟不確定性所影響。疫情造成工作模式改變可能是某些趨勢出現的原因。比如，過去四年企業限制進入其自有裝置的比例顯著減少。此外，今年少數慈善機構開始進行使用者活動監測，顯示對安全措施潛在的監督。

資料來源：

https://www.ibtimes.co.uk/only-30-businesses-have-board-members-responsible-cybersecurity-1716962