資安長三份調查&一份觀點：(1) EY：美國董事會在網路安全風險之監督在擴大；(2)有效能的資安長會花更多時間與非IT部門的領導者議合；(3)54%的資安長難以說服董事會優先投資網路安全；(4)資安長角色從IT轉向策略領導-2024/04/20

(1)EY：美國董事會在網路安全風險之監督在擴大

美國證券交易委員會(Securities and Exchange Commission，SEC)新的揭露法規在九月初要實施，EY Center for Board Matters的一份研究顯示：財星美國100強(Fortune 100)公司董事對網路安全之監督，正在快速變化。

EY的第六次年度研究，是根據Fortune 100中75家公司的委託投票說明書及年報，期間是會計年度2018年至今年5月31日。

研究發現，五分之四的公司揭露了管理階層多久會向董事會或委員會報告網路安全一次。近半的公司至少每年會向董事會報告網路安全一次。超過五分之三的公司揭露了網路安全是董事會追求的一個專長領域，較2018年的五分之一高。

該報告指出，公司正在強化向董事會揭露網路風險資訊的流程。比如，有57％的Fortune 100公司會指定至少1人向董事會報告這些問題，而大多數指定的是資安長或資訊長。在2018年時僅28％的Fortune 100公司會指定。

證管會最終版的法規提高了對公司的網路安全命令，要求公司要在判定某事故為重大的四日內要做揭露。但是監理機關也想要知道，在最初揭露後公司董事會是如何追蹤資訊的。

資料來源：https://www.cfodive.com/news/corporate-boards-cybersecurity-oversight/692118/  

(2)有效能的資安長會花更多時間與非IT部門的領導者議合

Gartner在2022年6月公布的研究顯示，最有效能的資安長會與非資訊科技部門的領導人持續議合。

這份研究分析了全球超過100位資安長的績效指標、心態、行為及結構特徵。

他們發現，每個月與財務長、數位和分析長、銷售主管開會，以及每一季與執行長、董事、公關主管、行銷長、外部會計師以及人資長開會，對資安長效能具有正面關聯性。但是，資安長耗費了太多時間在安全營運、員工管理、政策與標準制定、專案風險評估和監督以及承包商管理，反而花太少時間在利害關係人關係建立以及策略規劃。

擔任資安長，就是一位高階經理人，而非操作人員。但資安長並未如此看待他們最缺的資源—時間。

資料來源：https://www.itnews.com.au/digitalnation/news/effective-cisos-spend-more-time-engaging-with-non-it-leaders-gartner-581706    

(3)54%的資安長難以說服董事會優先投資網路安全

Encore委託Censuswide在2022年調查了英國與美國500個辦公室勞工、100個長字輩經理人，以及100個資安長。他們發現：有54％受調查的資安長說，感覺他們的董事會在網路安全方面並未提供充足的投資。

針對網路安全與長字輩主管的溝通有改善，僅4％經理人說，他們沒有在董事會討論網路安全。不過，只有半數受調查的長字輩經理人說，網路安全是最優先的事宜，而且有超過60％的安全部門領導人說，當提到規避網路風險時，並未感受到董事會的支持。12％的長字輩經理人仍只在網路入侵後才討論網路安全的這個事實，意味著他們仍抱持『有問題再說』的態度。

該報告顯示，有89％的長字輩經理人有事件反應計畫，但是研究者指出，策略必須更早採用，才能真正強化組織的安全結構。

為了對付這些挑戰，資安長應注意如何將網路風險溝通為一項企業風險，並教育員工和經理人何為適當的網路安全。

資料來源：https://healthitsecurity.com/news/54-of-cisos-struggle-to-convince-board-to-prioritize-cybersecurity-investments     

(4)資安長角色的持續變化：從IT轉向策略領導

這篇是由Simeon Tassev所寫、2024年3月7日在IT Web刊出的"The evolving role of the CISO: From IT roots to strategic leadership"。

傳統上，資安長因IT屬性會向資訊長報告。不過，當越來越多人認知到網路安全策略的重要性，許多公司現在正將資安長直接與其他長字輩經理人放在一起，尤其是財務長與執行長。對資安長最重要的是，在高階管理團隊內有一席之地，並能促進關於安全問題的直接討論、並確保安全策略和更廣的營運目標之間一致。

在節省成本及減少組織風險之間取得微妙平衡上，資安長扮演關鍵角色。作為網路安全的管理人，資安長必須考慮公司的規模與性質下，去評估組織的風險局勢，以瞭解不同程度的風險暴露。藉由全面瞭解組織的風險胃納，資安長可提出適當的風險管理策略。因資源有限而無廣泛的風險減緩措施時，資安長或許要倡議策略風險接受度。在風險管理與風險接受需求之間達到最理想的「甜蜜點」，需要對組織的能力及優先性有細膩的理解，讓資安長能有效地配置資源，來處理最關鍵的風險、同時達成最佳的成本效益。

除了內部策略以外，組織亦可探索外包的資安長，特別是資源有限的小公司。將資安長功能外包給第三方供應商，提供資安長即服務(CISOaaS)，有一些優點。這些專業公司帶來的專業與經驗，讓小公司可評估高品質的安全領導力，但不用負擔在內部維持全職人員的負擔。藉由利用外部夥伴，組織能從對其特殊需求訂做的成本效益方案而獲益，同時確保可有效處理遵循與風險管理。這個方法突顯了：策略夥伴與創新方案在不同組織局勢下強化網路安全韌性之重要性。最終，無論是透過內部領導、還是外部合作，優先重視網路安全，並將之連結到更大的營運策略，對於確保今日數位環境不斷變化的威脅，是最重要的。

資料來源：https://www.itweb.co.za/article/the-evolving-role-of-the-ciso-from-it-roots-to-strategic-leadership/JN1gPvOAnYDMjL6m