(1)很多公司都忽視了關鍵的網路安全接班計畫
根據經理人招聘機構Heidrick & Struggles的報告,近41%的公司沒有資安長的接班計畫。資料顯示,約四分之三的資安長說,他們對公司未來三年的變化,採取的是非常或完全開放的態度,這就凸顯了接班計畫的重要性及對留任策略關注之提高。
Heidrick & Struggles的合夥人及全球網路安全實務領導人Matt Aiello說,「我們認為,沒有資安長接班計畫是公司,會陷入本來容易規避的嚴重重大風險。」他還說,就算組織有接班計畫,典型上只有一個人,而這個人很可能資格不足。這是因為資安長大多聘的是團隊中「守備位置上的人」(position players),比如安全營運、應用安全或遵循方面的專家,不一定是未來的領導人。
最重要的是,資安長的角色特別難以取代。「在所有必需領域要訓練與培育內部候選人、又不犧牲日常工作,勢我們發現會有吃緊的現象。公司最簡單的就是從外部聘請未來的資安長。然而,有鑑於人才庫有限,此過程仍會耗費很多資源—包括時間、金錢與努力。」
Aiello說,若對網路安全領導人沒有清楚的接班計畫,則組織會讓自己暴露於巨大的網路安全威脅及風險中,完全沒有準備好面對後果。他說,「隨著市場與科技演進的腳步,領導層必須視資安長接班如同其執行長接班一樣重要。」
顧問機構Deloitte網路及策略風險方面的風險和財務首席顧問Daniel Soo說,隨著資安長的離任,會損失寶貴的機構性知識,從而阻礙了組織適應快速變化的網路威脅能力。
Soo說,「缺乏接班人可能會打亂企業正常的網路安全運作,導致進度延遲、在關鍵的網路風險管理活動上的落差,以及阻礙網路事故回應和決策。」此外,資安長接班計畫對於確保組織在對時間有對的人很關鍵,如此才能協助推動組織的網路目標。他說,「缺乏適當的接班計畫,可能會導致整個組織的混亂。」
Soo說,對組織最重要的是,一旦新資安長上任,就盡快展開接班計畫。他說,「計畫也應該涉及整個組織的領導層,以及董事會。如此可對現有的優先事項及風險作全面性分析,協助為新資安長在多個領域打下基礎,包括人才與資源。」
資安長接班計畫也應該透過考量企業和科技局勢演變的性質,預測未來的安全需求。他說,「資安長應分析這些趨勢的安全意涵,並發展政策、技術與技能以解決未來的需求。實行一個訓練計畫可協助確保員工做好準備,對處理即將到來的安全挑戰具備所需技能。」
根據Heidrick & Struggles的研究,大多數的資安長認為,今日的網路風險會與五年後不同。Aiello說,「此意味理想的接班人定義,應在資安長未來(而非今日)所需的脈絡之中。」選任委員會應該進行盡職調查,並從組織內外兩方分析人才庫。
Soo說,此外,組織應訂定說明每個安全部門(包含資安長)關鍵責任與任務的文件。他說,「這可協助組織考慮資安長當前與未來應該、可能負擔的責任為何。」
(2)Fortinet調查:80%的網路入侵是因技能落差引起的
根據Fortinet的" 2022 Cybersecurity Skills Gap Report ",網路安全技能落差以及人才短缺,占網路入侵成因的80%。
Fortinet的報告說,有八成受調查的組織遭遇過至少一次網路入侵,他們將此歸因於可能缺乏網路技能或意識。全球來看,64%的組織經歷過會造成營收損失、付出復原的成本或罰金的網路入侵。
由於這些損失,網路安全在董事會層級正成為更優先的事宜。全球來看,88%設有董事會的組織表示,他們的董事會會詢問關於網路安全的問題,而有76%建議增加資訊科技和網路安全方面的員工。
該調查針對1223位資訊科技及網路安全決策者執行,橫跨了25個不同地區—包括印度、新加坡、日本、澳洲、南非、阿拉伯聯合大公國、英國、美國、法國、德國、巴西、中國以及加拿大。受訪者來自於一系列的產業包括有科技(28%)、製造(12%)以及金融服務(10%)。
95%的領導人相信,科技為主的認證對他們的角色與團隊會有正面影響,而有91%受訪者說,他們願意支付更多給員工,以取得網路認證。這是因為他們經證實在網路安全知識與意識方面是有提升的。
資料來源:https://businesschief.com/human-capital/fortinet-survey-80-of-cyber-breaches-caused-by-skills-gap
沒有留言:
張貼留言