(1)[2023]半數資安長現在向執行長報告,顯示了其影響力的上升
這是Phil Muncaster所撰寫、關於Splunk的2023 CISO Report內容。該報告對10國家、共350位資安長與其他安全領導人進行了調查,另外也對20位資安長進行了深度執行訪談。
近半(47%)的全球資安長現在會向執行長報告,大多數(78%)都獲得董事會層級資安委員會的支持,此顯示了他們在組織網路風險管理方面的影響力在上升。
該報告顯示,歐洲的資安長比美國更可能向執行長報告,比例分別是54%與41%,Splunk認為,這是因為歐洲的執行長對安全負有個人責任。不過,最近美國SEC公布的規範,也可能要求董事會對入侵和事故負起更多的責任。
這是為何有88%的受訪者說,其董事會正「齊心協力」作網路安全教育。不過,有84%的資安長說,他們的董事會仍將資安視為監理遵循,而非最佳實務,這顯示了其焦點可能有些偏離。
Splunk認為:資安長正漸漸在獲得長字輩主管的注意。
另外有四分之一(26%)的受訪者說,他們會分享安全測試結果,讓董事會瞭解要從何處介入,相近比例者(27%)說,他們會優先報告安全投資的投資報酬率。藉由展現需介入之處,有助於讓未來投資的想法獲得支持。
該報告還表示了:
*80%的受訪者注意到,伴隨經濟衰退出現的威脅在增加
*85%擔心宏觀經濟對其運作的影響
*31%說,計畫因缺乏資金而延遲或取消
*僅35%說,他們的董事會會對網路安全有投入適當資金
資料來源:https://www.infosecurity-magazine.com/news/half-cisos-report-ceo-influence/
(2)[2022]近三分之一的資安領導人考慮過要離開他們的組織
BlackFog在2023年11月1日報告說,英國與美國有32%的資安長或資訊科技安全領導人正考慮要離開現在的組織,有鑑於亟需安全人才,這是非常令人擔憂的數字。
研究者說,這些考慮要離職的人,有三分之一會在未來6個月裡如此。在前組織擔任過資安長的人裡,有41%會在遭受網路攻擊或資料受駭客入侵後離職或被解僱。
被問及最不想當資安長的原因為何,30%說是缺乏工作與生活之間的平衡、27%說他們花太多時間在救火,而非關心策略安全議題。
Cybrary的影響長Chloé Messdaghi說,網路安全經常是一個在公司推出新產品、服務或面對客戶資產之前(甚至之後)的關注事項,逼著安全團隊面對這些威脅時要救火而非防範,把資安長的重要性低估為保安。未能對人進行投資,是阻礙資安長精疲力盡的另外一個因素。
「投資於提升技能的安全團隊,會讓他們在其角色上更有效率,並協助降低那些非救不可的火。這會開放晉升的機會,而且是一個非常受歡迎的效益。事實是,未提供晉升空間的公司,將不可避免地看到有才能的人離開,尋求更好的機會。也值得一提的是,當資安長並未感覺到價值,或感覺到極度缺乏工作和生活上的平衡時,他們就比較無法支持他們的安全團隊,因此起於資安長層級的不滿,不可避免地就會擴散到整個安全與資訊科技生態體系上。」
(3)[2021]董事會的網路安全:資安長角色在新時代的演進
根據Heidrick & Struggles 在2021年的調查,僅12%受訪的資安長具備董事身份。即大多數公司缺乏網路安全專業。美國SEC提案要求公司安全監督是執行董事的法律責任;英國則計畫要要求公司出版關於網路安全風險的「韌性報告」。
Gartner 預期到2025年,會有40%的董事會設有專職的網路安全委員會,2020年還不到10%。因此資安長擔任董事這件事很快就會很普遍。
Gartner受訪的董事會指出,88%視網路安全不只是IT部門要解決的科技問題,而是企業營運的基本風險。IBM的針對公司資料外洩的研究顯示,83%公司在2021年有資料外洩事故,成本平均為435萬美元。
讓資安長擔任董事,會確保公司正視如何處理此企業風險。不過關鍵還是,要注意溝通他們的擔心事宜。因為事故一發生或許會關心,但之後就會麻木。
資安長不應被視為是救火隊,而應被視為是領導與經理人,需要跨部門運作。
在某些公司這個改變很顯著,比如把資安長改成營運資訊安全長(business information security officer,BISO)。如此更適合商業語言、企業結構及組織結構,特別是從董事會的觀點。
資安長要有效工作,必須聚焦並在真正的全球脈絡中看網路安全。而推動公司內處理網路安全的文化改變,只能從董事會層級的資安長開始做起,因為這不只是要確保組織的安全而已。
資料來源:https://techmonitor.ai/technology/cybersecurity/ciso-on-the-board
.jpg)
沒有留言:
張貼留言