資訊安全議題因為入侵與威脅升高、造成的財務/名譽損失巨大,故日益受到重視。不過就不同時段、不同單位做的調查來看,資安長這個職位對董事會與經理人之間的互動和報告,似乎仍不是很完整與順暢。
比如The State of CISO Influence 2023的調查說,雖然資安長與高階經理人之間的溝通頻率有增加,但向上溝通很大程度仍效果不彰。Fortune 1000資安長組成的RSAC Executive Security Action Forum最近有一份研究顯示,超過半數的資安長(58%)承認,他們難以向高階領導層以他們瞭解的方式溝通技術語言。
資料來源:https://www.darkreading.com/edge-articles/how-cisos-can-craft-better-narratives-for-the-board
Proofpoint和CAMS的Cybersecurity: The 2022 Board Perspective報告指出,董事會成員及資安長對於主要網路威脅,存在著分歧;另外對網路事件嚴重後果的認知也不一樣。因此報告建議,對網路威脅所使用的語言,要以風險為基礎,並使用與這一行有關的語言,因為負責安全的專業人士常使用董事會成員難以理解的術語。
資料來源:https://securitybrief.asia/story/singapore-and-cyber-attacks-boards-and-cisos-are-not-aligned
Kaspersky對東南亞長字輩主管(C-level executives)的調查顯示,長字輩主管有時難以瞭解他們資訊科技安全的同仁,不總會表現出他們的困惑。因此,26%的非資訊科技高階經理人說,在與IT安全同仁開會時,若是被認為他們對某些事情不瞭解的話,會感覺到不舒服。有近五分之二的受訪者在顯露出不瞭解該主題時會感到尷尬,有42%不想在IT同仁面前顯得無知。
因此Kaspersky建議,資安長要積極參與營運活動,因為僅不到20%的資安長會與銷售、財務與行銷的關鍵經理人建立合作伙伴關係,他們很難及時瞭解業務的需求。另外,也向董事會說明IT安全團隊主要的責任,讓他們可站在資安長的立場,深入瞭解最相關的IT挑戰。
資料來源:https://securitybrief.asia/story/basic-cybersecurity-terms-unfamiliar-to-c-level-executives-in-sea
Deloitte在2021年指出,資安長現正持續掙扎於向其他長字輩主管、董事會成員解釋,組織所受到的網路風險是,但他們無法將威脅與脆弱之處轉化為實際圖像—亦即從財務觀點來看網路風險。為了有效地與董事會溝通,網路安全團隊必須學習如何談論業務,也就是把網路、財務方面的風險予以量化。資安長所欠缺的是Cyber Risk Quantification,亦即從財務面去看網路風險,以主動進行網路防禦,並讓董事會以資料導向制定策略。
財務長在這方面能提供什麼協助?財務長可協助資安長使用企業語言來說話,將網路安全術語轉化成企業語言。另外也可以將風險要素予以量化,因為風險並非「有」或「無」,透過量化已知的網路風險,財務長可估算駭客入侵的機率與成本。
對於如何向董事會成員、高階經理人報告,實在是一門學問。每個人的專注力有限,甚至經營者日理萬機、耐心有限,幾句話引不起興趣就會略過,可能就使得預算和資源不足。但若因此忽視掉重要問題,是決策者輕忽?還是因為報告者資訊提供不足?
多年前TCGA請何佩諸委員翻譯及出版了Julie Garland McLellan所著的《如何向董事會報告》(Presenting to Boards),以下分享幾點該書中的幾個要點,有興趣於強化向董事會報告者(尤其是IT和資安負責人)或可參考。
首先,董事會會把以下幾件事視為自己的職責:
1.制定策略方向
2.取得資源
3.監督績效
4.確保遵循法律
5.建立風險架構
6.提供究責性
而特許管理會計師公會的報告Performance Reporting to Board: A
Guide to Best Practice指出,董事會所需的良好資訊包括以下特點:
*攸關性(Relevance)
*整合性(Intergration)
*恰當的(Perspective)
*及時性(Timeliness)
*經常性(Frequency)
*可靠性(Reliability)
*可比較性(Comaparativity)
*清楚性(Clarity)
關於標準的報告類型有:
1.專案執行檢討
2.財務報告
3.投資請求
4.委員會報告
5.背景資訊簡介—對組織未來發展具策略重要性的主題,請專家來做專題介紹
沒有留言:
張貼留言