資安長的路：(1) 資安長的演進；(2)資安長還是不容易成為C-suite；(3)從資安長邁向董事會之路；(4)董事會與資安主管必須合作強化公司安全-2024/05/26

(1)資安長的演進：這個職位發生了什麼變化

2024年4月2日在Security Intelligence上有一則由Jennifer Gregory所寫的“ The evolution of a CISO: How the role has changed“。

在許多組織，資安長(Chief Information Security Officer , CISO)主要關注網路安全，有時候會單獨關注它。然而，隨著今日複雜的威脅及其持續演進的樣貌下，企業正在轉變許多角色的職責，而擴大資安長的角色就在那些變革的第一線。根據Gartner的看法，到2027年以前，監理壓力和攻擊面擴大將造成45％的資安長職權範圍擴展至網路安全之外。

隨著資安長職責變化地如此快速，該職位如何調適以面對未來的網路挑戰呢？ 

過去資安長的角色

Steve Katz在1995年擔任花旗集團(Citicorp/Citigroup)的資安長，成為世界上第一位資安長。從擔任資安長起，Katz就瞭解到這角色不只是一個IT職缺而已；而是藉由降低風險來為企業服務。在接下來幾年，其他組織開始新增這個職位，在大多數組織結構中資安長向資訊長(CIO)報告。儘管許多資安長承認職位真正的性質，但組織其他同仁則經常意見不一。

資安長遲早會發現自己要設法達成組織外部的問題，比如建立夥伴關係、與供應商合作以及管理外部資料傳輸。然而，許多組織覺得該角色仍然主要保留於IT領域，而其首要責任是防止公司因重大網路安全漏洞或攻擊登上頭條新聞。這代表許多資安長主要關注的是遵循及風險管理。

今日資安長的角色

最近幾年面對越來越多的網路攻擊和營運中斷風險、罰款及商譽受損的風險愈發滋長，資安長角色有巨大的轉變。根據Splunk的《資安長報告》(CISO Report)，86％受訪者自從他們擔任資安長以來，這個職位改變很大，幾乎是一份不同的工作。此職位已經從主要是技術性的角色轉變成更像業務主管了。

相對於落實網路安全，資安長現在關注於協助組織領導人理解網路安全的重要性，以及引領組織網路安全的策略思考。對資訊科技部門來說容易的技術語言和高階領導層的商業語言之間的落差，資安長要彌合。

根據Splunk的報告，此轉變也會重塑組織結構，47％的資安長現在直接向執行長報告。透過讓資安長回答執行長而非資訊長，該組織闡明網路安全作為關鍵優先事項的重要性。此外，隨著在高階管理層或甚至是在董事會有席位，現在的資安長擁有更大的影響力。

對資安長角色的未來預測

網路安全專家在爭論資安長之角色應該關注經營或者技術。當我們一路前進時，這個答案肯定將落在中間。比起以往任何時候，今日成功的資安長必須同時擁有技術和業務敏感度的罕見組合才能真正在這個角色上成功。

與其單純協助組織使用網路安全和風險的共同語言，資安長將發揮更大的領導作用，承認負責整個組織的網路安全策略。隨著職位態樣和責任增加，其他員工也將瞭解組織中網路安全之重要性。

作為一位較新的、只存在了幾十年的高階主管職位，資安長從Katz新聞出現後就有相當大的演變。當威脅變得更複雜且企業日漸數位化時，網路安全攻擊所造成的業務中斷，經常影響公司的各方面。瞭解網路安全日益重要以及一路改變其資安長角色的組織可以創造一種文化，在這裡每個員工及經理人把網路安全看作是自己份內的工作。

資料來源：https://securityintelligence.com/articles/ciso-role-evolution/  

(2)縱使期望飆高，但資安長仍難以成為長字輩主管

這篇是由Jai Vijayan所寫、2024年1月20日刊載於Dark Reading的"CISOs Struggle for C-Suite Status Even as Expectations Skyrocket"。以下分享一些要點。

根據一份對663位安全主管的新調查，資安長越來越被認為要負擔一般長字輩主管要負的責任，但是卻沒有被當成真正的長字輩主管。

該調查是由IANS與Artico Search合作的，調查了關於資安長工作、責任、管理支持等的各種問題。

有75％的受訪者說，他們正在找新工作。

受訪者顯示，在公私組織方面，對資安長職位之期待都有大幅度的轉變，尤其因為監理機關的審查越來越嚴格，以及對安全出問題的責任越來越高。

像美國SEC在2023年七月所採行的法規，就要求上市公司要在重大安全事件發生四日內進行報告。另外一個例子就是New York State Department of Financial Services (NYDFS)對金融服務公司，提出新的網路安全要求。

IANS與Artico的報告說，「監理機關會要求資安長代表組織，為透明度、甚至舞弊負起責任。」外界越來越期待資安長要負責企業風險管理、在高階主管會議上清楚表達，並直接向執行長和長字輩主管溝通。但是，「儘管角色期待有升高到長字輩等級，但資安長仍難以被視為真正的長字輩主管，且資安長職位通常不是高階領導團隊的一部份。」

該調查顯示，有超過63％的資安長是副總裁或董事會層級的職位，但僅20％是真正的長字輩主管（儘管他們頭銜上有『長』）。在營收超過10億美元的公司，這個數字更小，僅為15％。從報告的角度看，令人不安地有90％資安長離執行長與長字輩主管至少兩階。僅50％會每季與公司董事會見面。有四分之一是一年與董事會見面一兩次，12％是出了問題才去董事會，另外13％是完全沒跟董事會接觸過。

稍超過三分之一(36%)受訪者說，他們的董事會針對組織的風險承受度，有提供夠清楚的意見可供行動參考。

IANS的研究總監Nick Kakolowski說，隨著組織營運更為數位化，資安長要負擔更大的責任，並成為實質的數位風險負責人。但是在角色負責範圍擴大之際，組織並不知道如何支持、賦予他們權力。

最近幾年在資安長們擔心職權期待擴大，但是他們能達成這些期待的能力，並沒有很大的改變。

Kakolowski說，為何許多組織仍不認為資安長是長字輩主管，原因在於歷史性的偏見。「資安長常被視為是技術人員，無法使用企業語言交談。當提到技能發展時，他們常被孤立。相關的措施通常在於技術能力與團隊領導力，而非高階經理人的技能發展。」

Kakolowski說，「最大的挑戰是：難以找到資安長和其他長字輩主管之間的連結。企業領導人開始意識到未將資安長視為企業高階主管的風險，而這對資安長而言是一個機會，來展現他們走出後台、為組織貢獻價值的能力。」

Kakolowski主張，擴大資安長角色而成為長字輩主管，有很多好處。成為高階主管一員，會讓資安長在數位風險管理上，更易於與其他利害關係人合作。

他指出，「如此可讓資安長先於風險，因而當風險出現時減少摩擦。」

資料來源：https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket 

(3)從資安長邁向董事會之路

這一篇"The Path from CISO to Board Director"是Matt Kelly所寫、2023年8月24日刊出的文章。董事長重視資安長工作內容、甚至讓資安長加入董事會，都會是越來越重要的話題。以下分享這一篇我覺得有趣之處。

公司董事會需要更多資安長，協助他們在今日的網路世界中領導企業。而這有一個重要問題：資安長要成為有力的董事候選人，應該具備什麼經驗？

這不只是把「網路經驗」放上LinkedIn檔案、等著招聘機構打電話來就好。資安長需要特殊類型的經驗—包括技術和營運的，獲得董事會需要的觀點及判斷。如此你才是董事會可靠的候選人。

資安長因其技術專長而獲青睞—但並非所有公司都需要同樣的網路經驗。某些經驗對董事會而言可能遠比其他更重要。比如：

*危機管理。董事會總想要董事具危機管理的經驗。這有兩個因素。首先，他們要董事能協助領導組織度過危機—當系統停擺、人員困惑、投資人急摳、發現公司上頭條時。然而，更有價值的是能預測潛在危機的董事，因為他們在其他組織經歷過類似的時刻。當資料外洩或勒索軟體攻擊時，要能注意到危機如何發生、企業如何回應。理想上，危機結束後能進行「行動後報告」(after-action report)，瞭解團隊哪裡做得好，以及在政策、程序及控制上還有什麼需要改善。

*建立風險管理系統。除了危機管理以外，董事會也需要能建立風險管理系統的資安長。畢竟，董事會最重要的工作就是監督風險管理。典型上這要與經營團隊開會審視風險報告而達成。掌握風險管理系統種類的董事候選人(他們瞭解風險管理系統應該如何做，以及能對董事會提出關於系統管理的尖銳問題)，就能鶴立雞群。

*發展KRI與KPI。同樣的，資安長也應該具備發展關鍵風險指標(KRI)與關鍵績效指標(KPI)的經驗—其內容涉及網路性能、潛在網路入侵、供應鏈上技術供應商的安全狀態等。關於「正常的」企業IT系統應如何運作、最需要注意哪些警示，這些看法對在受高度監管、高度整合及高度數位化世界中運作的董事會而言，是非常重要的。

除以上幾點以外，他們也需要有對業務的敏銳性。

比如，資安長要具備與財務長、執行長互動的經驗。因為這些經理人很多也會擔任董事，故需要瞭解他們的看法、用他們的語言說話。

在實務上，實務上，這或許意味要能瞭解那些引導公司投資決策的本效益分析、或知道如何向經理人提預算需求，這是財務長在做的事。你也需要瞭解財務和營運優先事項如何支持策略目標，這是執行長在做的事。

作為一位董事會成員，在董事會做重大決策時，你也只能投一票。但是作為董事會上的資安長(很可能只有你一人瞭解資安)，當董事會在考量組織所面對網路時，你能夠建議如何「調整」他們的策略選擇。

另外資安長要記得，你可能最終會進入董事會的風險委員會，處理所有風險管理問題：網路安全風險、遵循風險、ESG風險，以及值得董事會注意的其他非財務風險。要服務風險委員會需要什麼經驗？這就要與法遵長緊密合作並處理危機。

資料來源：https://www.jdsupra.com/legalnews/the-path-from-ciso-to-board-director-3590361/

(4)Bill的資安長說，董事會與資安主管必須合作強化公司安全

這篇是由Kim S. Nash所寫、2024年4月17日在WSJ PRO網站刊出的"Boards and Cyber Chiefs Must Join Forces to Strengthen Corporate Security, Bill’s CISO Says"。

在SEC要求公司揭露重大網路攻擊、說明如何管理網路安全下，資安長在風險管理上現在的角色比過去更為重要。WSJ Pro與科技公司Bill的資安長Rinki Sethi探討了這個趨勢的發展。以下分享一些訪談內容。

WSJ:公開發行公司要開始要遵守SEC新的網路安全揭露法規。資安長會如何處理這些揭露與檔案？

Sethi:安全團隊與法務團隊必須要有非常堅實的合作關係，以確保對所有不同種類的網路安全事故，都有對應措施。這需要與公司不同利害關係人一起評估重大性、進行溝通等作為。

WSJ:董事席次不是無限的。其他董事相比，資安長有的是相對專業知識，為何董事會需要將一席寶貴的席次給他們？

Sethi:不是一定要給資安長董事會席次。還有各種不同職位者也都瞭解風險與科技。但我認為資安長會帶來非常獨特的觀點。資安長必須領導相當複雜的組織、領導你們如何影響風險。藉由這麼做，我們整體就能提高安全標準。公司的資安議程不能只靠身為資安長的董事負責。這需要整個董事會投入。

WSJ:資安長當董事的話，有什麼效益？

Sethi:討論企業財務狀況及對董事會最重要的事，執行長如何與董事會互動、執行長的報告以及董事會如何挑戰，這些事情在以前我只有當資安長時是沒遇過的。這會讓我成為更好的領導人。我的同儕知道，我瞭解對企業而言重要的是什麼，因此當我提出安全風險時，就是在企業重要脈絡下提出的。

WSJ:你覺得董事會應該向資安長提出的最重要問題會是什麼？

Sethi:對於董事會要問資安長的問題，沒有特定標準。...如果你只在意資料，那就會陷入資料的草叢裡。真正要思考的是，「你有力量可應對入侵嗎？公司有實作過嗎？而身為資安長，你感覺到受支持嗎？」

資料來源：https://www.wsj.com/articles/boards-and-cyber-chiefs-must-join-forces-to-strengthen-corporate-security-bills-ciso-says-40bd55c9