這一篇“CISO perspective on why boards don’t fully grasp cyber attack risks“,內容是Help Net Security訪問PlanSource的資安長David Christensen內容,其中提出了資安長與董事會之間觀念歧異的根源及癥結,並提出一些策略或建議,讓公司更能理解網路安全風險管理、策略及治理。以下節選一些我覺得有趣的內容來介紹。
問:董事會與資安長通常看待網路攻擊的風險並不一致。造成此歧異最主要的原因是什麼?
董事會基本上從比較寬廣的角度地看組織的目標、策略及整體風險局勢,而資安長則負責評估與減少網路安全風險。在觀點上的差異,就會造成優先性及風險評估上的不同。董事會和資安長看待網路攻擊風險觀念不一,通常是結果:董事會成員缺乏網路安全專長、議題複雜性,還有資安長向董事會溝通時使用過多技術性用語。
向董事會溝通網路安全,資安長需要先瞭解他的聽眾、將技術用語轉化為企業語言,還有讓董事會把資安長當成策略伙伴。
資安長也需要瞭解董事會成員常做的是短期性決策,關注每一季或每年的績效,而資安長比較在意的是長期網路攻擊影響。時間軸的不一致,就會造成風險認知上的差異。
問:資安長如何有效地將技術語言轉化為企業語言,讓董事會可以瞭解並與之互動?
資安長需要瞭解董事會成員的知識和背景,以便轉化為企業語言,使標的聽眾熟悉。
為了溝通有效,David Christensen會與科技圈以外的企業領導人合作,提高與企業之間的連結。關注網路安全風險的潛在企業衝擊,也可讓資安長從結果面(比如財務損失或對企業品牌的傷害),來架構他們的技術問題。
問:可以用什麼策略,來瞭解與認知網路安全更廣泛的組織和策略意涵?
董事會要更瞭解此意涵,就要改變對網路風險的看法及作法。董事會可以從彌平資安長與董事會間現有的落差開始,並與不在董事會上的資安長發展起一個直接與策略性的關係。董事應該花更多時間在網路安全問題上,並讓資安長向董事會溝通風險,而不是用幾張簡報就簡單帶過。董事會組成也需要納入網路安全專長,比如同時具備企業與網路經驗的董事。
問:董事會可採取那些具體措施,增進他們對網路安全風險之理解,以及評估管理此風險計畫之有效性?
董事會應該建立一個專屬的資安委員會,成員由具相關專業者組成,以協助評估及監督組織內的網路安全措施。
董事會也要和網路安全專家及顧問請教,對組織所面對到的特定風險和挑戰獲取見解。此外,董事會應要求其組織定期做風險評估,並審視網路安全報告,這些都可對組織的網路安全局勢提供一份概略的圖像。
資料來源:https://www.helpnetsecurity.com/2023/07/11/david-christensen-plansource-board-ciso-communication/
沒有留言:
張貼留言