(1)董事會網路專業知識受到審查
Security Intelligence在2024年1 月 22日刊載,2023年發布的一份報告顯示,僅5%的資安長(CISO)直接向執行長報告。實際上低於2022年的8%及2021年的11%。縱使董事會成員不想跟網路靠得太近,網路問題無論如何會找上他們—至少根據美國證券交易委員會(SEC)可能實施的新法規。負責安全的首長該做些什麼?
網路知識落差
最近一份CyberEdBoard報告說:「董事會成員只不過還沒裝備好去了解技術。這問題的另一面是資安長往往使用術語,超出董事會的理解。我們必須找到讓資安長有效向董事會溝通的方法。」
隨著精通科技人士越來越多進入經營高層,這可能是一個普遍現象。然而,若僅一小撮資安長向執行長報告,它就引發了公司如何優先重視安全問題的疑問。
同時,美國聯邦政府越來越擔心網路攻擊,例如重要基礎設施與政府機關所帶來的影響。而聯邦政府正採取行動強制要求遵循法規。
SEC執法向前行
在2022年,SEC將執法部門的網路安全與加密資產單位(Enforcement Division’s Cyber and Crypto Assets Unit)規模擴大了近一倍。此後,由於網路安全控制不足以及網路風險和事件的揭露不充分,該部門已經對SEC所監管的實體展開執法程序。
在過去兩年間,SEC的執法造成起訴、罰款及和解。世界上一些最大金融實體不得不支付從42.5萬美元到3500萬美元不等的罰款。
公開發行公司的法規是下一步嗎?
如今,SEC提議的第十號規定(Rule 10),明確要求所有公開發行公司以8-K表格報導重大網路安全事件。第十號規定也強制要求定期揭露註冊公司的政策及程序以辨識和管理網路安全風險、在落實網路安全政策及程序中經營團隊的角色—以及董事會的網路安全專業知識,如果有的話。
董事會應該加入網路
雖然某些董事會成員可能仍不願正視安全問題,而教育是關鍵。應該提供一些易於掌握的參數,像資料外洩的全球平均成本達到445萬美元。或者告訴他們SEC的罰款為3500萬美元。
安全首長也應該蒐集真實世界的資料以及網路帶給公司的損害─去年你們偵測出幾起攻擊呢?有多少資料外洩?預估的成本有多少?需採取什麼手段將未來的事故降到最低以及需要做什麼投資?
這些是簡單概念,任何有商業頭腦的人都能搞懂。具備這一類的資訊後,董事會成員就可以明智地與任何監理機關對話。
要求董事會成員成為網路專家是不合理的,但是可以引導他們去理解相關的事業風險和利益。此外,網路主管應該在長字輩主管中有一席之地,或者至少能向執行長報告。
給董事會所能瞭解的術語
根據CyberEdBoard的資安長及專家委員會顧問Marco Tulio Moraes,安全主管需要學著以財務用語說話。
例如,你可以用量化的財務用語來解釋網路風險組合曝險的總損失嗎?這可協助每個人掌握問題的大小來推動策略。以醫療照顧業為例,風險組合曝險的損失平均為550萬美元,假設每年發生的可能性為9%且平均損失4000萬美元。這是你的董事會可以接受的嗎?
一旦清楚說明這些數字,就可以在考量若干限制下,諸如預算、人員、時間與其他資源限制,定義風險胃納及承受度。自此,關於策略網路安全便可以進行明智討論,包括投資、責任與預期結果。
資料來源:https://securityintelligence.com/articles/boardroom-cyber-expertise-scrutiny/
(2)網路安全應該是執行長的優先事項
這一篇是2023年10月12日刊載於Help Net Security的"Cybersecurity should be a business priority for CEOs"。是Accenture的調查及一些建議。
根據Accenture,74%的執行長擔心組織避免和減少網路攻擊對企業之損害。
60%的執行長說,他們的組織並沒有從一開始就將網路安全納入其營運策略、服務或產品內;44%相信網路安全需要不時地介入,而非持續關注而已。
還是有54%的執行長會錯誤地如此假設:實施網路安全的成本會高於遭遇網路攻擊的成本。比如,報告指出,全球航運與物流公司的資料外洩,會使其業務量縮減20%,相當於3億美元的損失。
此外,儘管有90%的執行長說,網路安全是讓其產品與服務產生差異性的要素,可協助他們建立顧客的信任,但僅15%會真正在董事會議上討論網路安全問題。
有91%的執行長說,網路安全是科技部門的事,由資訊長與資安長負責,這個事實或許就說明了前述的落差。
該報告也指出,生成式AI有可能會更大程度的進階安全威脅,而此威脅會帶來新的挑戰—這或許是網路防禦最佳實務無法完全處理的。64%的受訪執行長說,網路犯罪可能會使用生成式AI來發動複雜且難以偵測的網路攻擊。
Accenture Security的全球負責人Paolo Dal Cin說,「不幸的是,通常在經驗過重大網路事件後,才可能讓網路安全升級到董事會層級、提高長字輩主管的優先性,以及讓此期望跨出技術部門,更好地保護組織。將網路安全風險納入企業風險管理架構,是確保更佳的安全、監理遵循、企業保護與顧客信任的關鍵。」
該研究認為,極少數的執行長才精通於韌性,而Accenture稱其為「具網路韌性的執行長」,他們的比例才5%,會從廣泛的角度來評估該組織所有面向的網路安全。
這些領導人的組織會比其他組織更快偵測、遏止網路威脅,並從中復原。因此,他們受攻擊後的成本會比其他公司低得多,且財務績效會明顯更佳:平均來說,收入會增加21%、成本會減少21%、資產負債表會改善19%。
另一方面,「網路落後者」(佔全體執行長的46%),不會持續或認真地看待相關行動,基本上會陷入被動模式。
以下是作者提出的5個網路韌性行動
1.從一開始就把網路韌性納入企業策略
具網路韌性的執行長,有近兩倍的可能性比照財務績效的方式來管理網路績效(60%對33%)。
2.建立整個組織共享的網路安全責任
具網路韌性的執行長更可能會採全體長字輩主管層級的共享責任,並激勵經理人將網路安全當成競爭力優勢,以便安全地加速創新(68%對37%),另外也會緊密地與其資安長合作,評估和管理生成式AI的風險,進而確保科技被安全及有效地使用(54%對33%)。
3.確保數位是組織的核心
具網路韌性的執行長有超過兩倍的可能性會說,在採行與落實數位和新興科技之增強時,他們計畫要提高網路安全預算(76%對35%)。
4.將網路韌性延伸出邊界與各自領域
具網路韌性的執行長有40%以上的可能性,會對第三方落實特定政策與控制,甚至更可能會推動整個企業的風險評估方法,打破現有的營運單位與部門之別(64%對41%)。
5.持續的網路韌性以保持領先
具網路韌性的執行長更可能會致力於:持續建立產業領導級的網路安全措施,其中會考慮到變動的風險局勢,並與長字輩的優先事項一致,以便保護企業、並有效偵測與回應網路攻擊(60%對34%)。
資料來源:https://www.helpnetsecurity.com/2023/10/12/cybersecurity-ceos-responsibility/
(3)強化網路安全文化:資安長年度優先事宜
最近由TechTarget的Enterprise Strategy Group及Information Systems Security Association (ISSA)合作的研究發現:資安長認為,公司在內部建立適當的網路安全文化,還有很長的路要走。
何謂網路安全文化?European Union Agency for Network and Information Security (ENISA)的定義是:
關於網路安全的知識、信念、觀念、態度、假定、規範與價值,以及人們如何以資訊科技展現人員行為。網路安全包含的常見主題,包括網路安全意識與資訊安全架構,但是更廣的還有範圍及應用,就是讓資訊安全考量成為員工工作、習慣與行為中不可或缺的一部分,並納入日常行動之中。
換言之,網路安全文化要讓網路安全成為:達成公司整體目標必要的一部分。在問及如何強化組織整體的安全文化計畫,60%的受訪資安長表示,他們應致力於創造組織上下更佳的網路安全文化,而其他受訪者僅42%如此認為。
值得一提的是,資安長也相信,他們的網路安全計畫要進步,需要靠高階經理人與董事會更參與網路安全的決定與監督、提高網路安全預算,以及強化安全衛生和態勢管理—所有這些都是網路安全強大的要素。
雖然有超過三分之一(36%)的資安長認為其公司的網路安全文化是先進的(略高於其他受訪者),但是34%說他們的網路安全文化屬中等水準。令人警示的是,還是有30%的感覺不這麼正面,認為組織的網路安全文化普通或不佳。
有鑑於網路安全文化的重要性,資料顯示了資安長與其他高階經理人之間的不一致。不幸的是,這對資安長的工作可能有害。當問及他們過去是否曾在會忽視安全最佳實務或監理遵循要求的公司做過?超過三分之二(68%)的資安長表示至少有服務過一個,而其他受訪者則為57%。
關於組織如何改善網路安全文化?資安長想要安全團隊對整體營運計畫有更高的參與度。他們也想要企業經理人對其營運單位的網路安全負起更多的責任,使他們在安全團隊的支持下,成為準業務資訊安全長(pseudo business information security officers,BISO)。這或許需要一些額外的技能組合,但肯定的是,資安長希望與企業經理人會面,並將具體業務流程連結到正確的風險減緩、網路防禦及監控。
整體來說,資安長認為組織其他部門要更認真地看待網路安全,特別是高階經理人及董事。值得一提的是,資安長不是只責備其他人網路安全意識不足。事實上,40%想要增加他們人員引導公司董事會作改變的參與度。
很清楚的,網路安全有賴於企業經理人強大的領導。不幸的是,資料顯示,資安長與董事會之間的關係好壞參半。當問及他們與董事之間的關係時,有40%的資安長說普通、或不好—這是有害的、有風險的。為矯正這個現象,60%的資安長建議要提高資安長與高階經理人、董事會之間的參與,包括對所有的營運計畫和策略。
Enterprise Strategy Group與ISSA的研究顯示了兩個矛盾且令人擔憂的狀況:
1.資安長相信,強大的網路安全是最佳實務,可大大協助他們的任務—及時而有效地預防、偵測與回應網路威脅。
2.許多組織的網路安全文化遠落後於其應有(需要)的水準。
沒有留言:
張貼留言