董事會與資訊安全：(1)別讓董事親自涉入網路事故回應；(2) Savanti調查說董事會難以瞭解網路風險；(3)Heidrick & Struggles調查說僅5％資安長會向執行長報告-2024/02/26

(1)風險專家說，不要讓董事親自涉入網路事故回應

2024年1 月11 日在Legal Dive網站有這一篇"Keep directors out of cyber breach response, risk specialists say"。

Morrison Foerster的Miriam Wugmeister說，組織越來越被逼著董事多參與網路風險管理，以作為他們受託義務、監督責任的一部份。但是，又不想要他們親自涉入每件網路事故。

「讓董事會成員不這麼直接參與網路事故的主要原因，是要確保他們不至於成為證人、涉入訴訟。」Wugmeister在一場podcast裡說。參與也意味著董事有風險不具保護善意原則行事的辯護權。

美國證管會網路安全規定，就是一個監理改變的例子，要求公開發行公司要揭露其董事會層級的網路安全專長。歐盟正在朝這個方向走，而其他的發展也正在推著組織要讓董事有更多的參與。以美國聯邦交易委員會為例，最近一些命令正在升高董事會的角色，作為和解條件的一部份。

因此，組織要確定董事在網路安全上的角色，不過主要角色應該要是：發展政策、分配適當資源以確保事故回應，並在受攻擊後有追蹤確認。

OpenAI的副法律顧問、Morrison Foerster的風險管理實務前共同主席Alex Iftimie說，「網路安全應被視為策略性的企業風險，就跟其他企業風險一樣。董事會需要聽取，對組織而言最重大的資料安全風險，以及公司與同業相比，如何對安全進行投資。」

組織應讓董事會就風險事宜聽取專家簡報及如何回應，作為發展對應方案流程的一部份。在事故發生後，董事會也應該參與，以瞭解管理階層是否採取步驟來解決事故發生的原因。

Wugmeister 說，「董事會應詢問...並確保具備充足的資源（人力、金錢與技術），以便在發現問題後予以補救。」

不管打造了什麼結構，都不要讓董事會親自涉入每分每秒的事故因應。

「當事件發生時，必須快速做出決定。因此少數人參與決策比較好。管理階層必須保持靈活。」Wugmeister說。

大多數組織都會讓董事以審計委員會身份參與網路安全。這是合理的作法，因為網路事故典型上會有巨大的財務影響，而且會引發組織是否有適當控制的問題—這兩個都是審計委員會的課題。

但是還不清楚的是，這個多數成員具財務與會計專長的委員會，是否最適合監督網路風險計畫。

Iftimie說，由審計委員會來監督網路事故的困難之一，就是審計委員會成員典型上大多是不熟悉科技、網路的董事。

一個作法是，可把網路議題放到更廣的風險管理委員會，並將此問題比照其他策略性企業風險的方式處理。另外一個作法就是創設一個特殊委員會發展網路因應計畫，之後將其計畫之監督交給風險管理或其他委員會。

資料來源：https://www.legaldive.com/news/directors-cyber-breach-response-risk-management-mofo-mugweister-iftimie-sec/704342/

 

(2)Savanti的調查報告：董事會成員難以瞭解網路風險

網路安全顧問公司Savanti的新報告發現，董事會成員常難以瞭解網路風險，如此會對企業有重大影響—證據顯示，展現出有效網路準備的企業，會有明顯較高的營收成長、估值及淨利率。

董事通常缺乏適當程度的網路意識，讓企業受攻擊的風險更高。PwC一份2022年的研究發現，59％的董事承認，董事會在瞭解對其組織網路風險的來源及影響上，並不是非常有效，而另一份同年的Russell Reynolds研究顯示，大多數對其網路安全弱點，「只是有一點點」。

Savanti報告凸顯了許多董事會對於資安長的網路安全報告，難以進行挑戰。其原因比如害怕暴露自己的無知。

這個問題因以下的事實變得更加複雜：許多資安長難以在董事會層級溝通，且傾向於對技術報告的關注，先於對策略風險基礎的討論，比如網路風險產生的財務曝險。

Savanti的執行長Richard Brinson評論說：「雖然近年在網路安全方面的董事會治理毫無疑問已有進步，但許多董事會仍難以履行他們的職責。」

「我們發現許多董事會成員不瞭解他們在網路安全上的獨特角色，缺乏適當程度的網路安全意識，而且害怕接觸資安長以縮短落差、擔心暴露他們不夠理解。」

Savanti列舉了五步驟，確保董事會發展有效的網路安全治理策略：

1.   瞭解你作為董事的獨特角色。這包括制定風險胃納—認知他們所接受的風險，並確保他們準備好在網路事故時發揮他們的功能。

2.關於科技、數據與網路安全有充分的資訊。該報告主張董事會至少要聘一位具特定網路專業知識的成員。

3.讓董事會議程上有網路安全事項。根據該報告，應定期在董事會上討論網路安全。

4.董事會與經理人要接觸獨立的網路安全顧問。獨立安全顧問應被用來強化董事會的網路知識，也指導資安長如何在董事會層級充分溝通和議合。

5.關於監理機關、投資人與公共組織的行動。Savanti呼籲對董事會實施的新要求上要有「聰明且聚焦的規範」，比如報導公司在網路安全上的風險管理措施。此外，其他利害關係人(像投資人)應該施壓企業，對網路安全採取更多行動。

資料來源：https://www.infosecurity-magazine.com/news/board-members-understand-cyber/

 

(3)Heidrick & Struggles調查發現，僅5％的資安長會向執行長報告

Heidrick & Struggles的調查顯示：資安長主要是向資訊長報告，現在比前一年向執行長報告的狀況較少。僅5％的資安長今年會向執行長報告，較2022年的8％、2021年的11％來得少。

儘管逐年來看有些微下降，但還是有超過三分之一的資安長直接向資訊長報告。

Heidrick & Struggles發現，資安長也會向科技長、營運長、全球資安長及風險長報告，報告關係凸顯了提早部署(leftward shift)—讓資安長從遵循轉變到科技。

調查發現，調查中有三分之二的資安長比執行長低兩階，會向直接對執行長報告的人報告。

Heidrick & Struggles預期，會向資訊長報告的資安長數量會進一步下降，因為資安長擔任更廣泛的企業風險監督角色，要定期向審計委員會及董事會報告。

Heidrick & Struggles的合夥人Scott Thompson說，「特別是今年，我們正看到資安長在整個董事會及其相關委員會能見度明顯升高—這顯示了，雖然資安長沒有對執行長報告的直接關係，但他們的聲音仍可被聽見，而且越來越被整合進組織策略。」

研究發現，大多數資安長(五分之三)會向整個董事會報告，近五分之四會向特定委員會報告。

這份研究有來自於262位美國、歐洲、亞太區與澳洲的資安長。超過一半的受訪者服務於年營收超過50億美元的公司。

資料來源：https://www.cybersecuritydive.com/news/ciso-reporting-structure/685571/