資安長與他們的董事會：(1)網路主管難以面對升高的工作期待及董事會溝通；(2)英國有75％的企業在2023年遇過網路事故；(3)網路安全「盲區」讓企業暴露於風險；(4)董事會的支持，對於經歷重複網路攻擊下的資安長仍然重要；(5)資安長與董事正在尋找共通的語言-2024/05/17

(1)網路主管難以面對升高的工作期待來與董事會溝通

2024年 3月 26日Wall Street Journal有這則報導：根據一份針對長字輩經理人的新調查，網路安全主管難以向高階經理人及董事會溝通，而且通常對公司安全形象之描繪太過正面。

隨著新法規要求公司揭露更多關於網路安全的細節，約有一半受訪公司認為迫切需要強化安全主管的溝通技巧。

根據溝通顧問機構FTI Consulting的新調查，31％的高階經理人說，他們相信公司資安長所描繪的景象比實際狀況更樂觀。

FTI還發現，30％受訪者說資安長似乎對於表達公司系統之安全漏洞有所遲疑。該調查於3月26日公佈，對象是美國、拉丁美洲、亞洲及歐洲不同產業的787位長字輩主管。

FTI的資深董事總經理Meredith Griffanti說，與不瞭解技術用語的高階經理人和董事會打交道的資安長通常會試著以簡化與最終刪減重要事實的方式溝通。

當向董事會報告時，Griffanti說：「我們通常看到資安長試圖融入並且毫髮無傷地離開。」

顧問公司Adversarial Risk Management的創辦人及經營紐約證交所的洲際交易所(Intercontinental Exchange)前資安長Jerry Perullo說，有一部分問題在於許多資安長缺乏工作所需的權限。他說，對資安長的期待已經擴大，但其影響力卻未隨之增長。

儘管有「長」這個頭銜，但資安長經常位階較低，要向資訊長報告。這就意味資安長不會參加與高階管理者或其他長字輩討論的策略會議。

Perullo說：「這絕對是一個問題。這不是說資安長將成為代罪羔羊，而是說他們沒有被賦予足夠的權力。」

會計與顧問機構KPMG的網路安全部門負責人Matt Miller說，主要脫節之處在於傳達網路安全工作的投資報酬率(ROI)。董事一般希望與管理階層討論這類計算，但在網路安全方面，這個方程式沒那麼簡單。

Miller說。未被駭客入侵所省下的成本是無形的。然而，就現代的資安長，「你需要某個能作經營決策及瞭解投資報酬率的人。」

FTI發現，由於資安長和高階領導人在針對網路安全溝通時未能對齊，31％受訪的長字輩主管表示，他們難以理解網路的投資報酬率。

高階經理人想要資安長強化他們溝通網路風險的方式。FTI的調查發現，98％的高階經理人支持為此類培訓提供更多資金，而有45％說這是迫切需要。

Griffanti說，許多資安長在董事會議做冗長報告，但沒有涵蓋公司安全風險最重要的面向。她說，董事會與資安長花最多時間在討論簡報前幾頁，像有多少員工通過網路釣魚測試這些細節。更重要的主題，比如不花錢來減少特定風險的潛在後果，卻沒有處理。

美國證券交易委員會(Securities and Exchange Commission，SEC)與其他監理機關的新規範強調董事會與資安長之間的關係。從十二月開始，SEC要求公司在每年提交的監理檔案內揭露更多關於網路風險及其如何管理安全的細節。迄今為止，許多公司已指明資安長與董事會見面的頻率，通常是一年二至四次。某些公司敘述將緊急網路問題升高層級至董事會的流程。

最近針對網路主管而備受矚目的法律行動，讓資安長在高層會議上感到不安。SEC在十月控告了軟體公司SolarWinds及其資安長Tim Brown，指控他們在2020年網路攻擊前後以關於公司網路安全的誤導性資訊欺騙投資人，該攻擊損害了許多公司和政府機構。SolarWinds週五提出駁回訴訟的動議。

五月時，優步(Uber Technologies)的前安全長Joe Sullivan被舊金山聯邦法院判處三年緩刑，原因是以刑事犯罪的手法阻礙2016年公司資料外洩之調查。此案是資安長因公司網路安全事故而被控告的罕見案例。Sullivan對此判決還在上訴中。

Griffanti提到觀察這些案子的資安長時說：「他們個人覺得要對任何類型的事件負責，因為他們是提出風險並要求董事會投資的人。」

對於該工作的資格還沒有共識，一如已確立的職位，諸如資訊長或財務長。

網路安全評估公司Schellman的執行長Avani Desai說，許多資安長都是因技術而晉升的。她說，從歷史來看，網路主管被視為技術專家，但這個職位要求對業務及企業風險有更廣泛的瞭解。某些網路主管對這件事還沒做好準備。

她說：「這可不是十年前資安長的角色。」

資料來源：https://www.wsj.com/articles/cyber-leaders-struggle-with-heightened-job-expectations-communicating-with-board-553118ab  

(2)英國有75％的企業在2023年遇過網路事故

Cyber Security Longitudinal Survey (CSLS)自2021年起追蹤了約1000家英國公司與慈善機構，發現2023年這些組織有新趨勢。有四分之三的企業、79％的慈善機構在2023年遇過網路事故。

關於事故之回應，大多數企業與慈善機構都有明文程序以回應網路事故（比例分別為59％與56％）。約一半的企業（46％）與三分之一的慈善機構（34％）在過去12個月有測試過他們的事故回應政策。

僅少部分的企業（23％）及慈善機構（16％）有使用AI及機器學習作為強化網路韌性之工具。

大公司較中小企業，更可能會高度重視網路安全。比如，他們更可能會遵守網路安全認證，並實施Cyber Essentials認證所要求的五項科技控制。

調查發現，約半數的企業及慈善機構（55％及45％）會有董事會成員負責監督網路安全，而約三分之二會有員工對董事會報告網路安全事宜（66％及61％）。

有55％的企業、35％的慈善機構，會有董事會層級的網路安全訓練。

然而，董事會會定期討論網路安全的公司比例，仍然相當低，僅43％的企業、37％的慈善機構至少會一季討論一次。

英國政府重視董事會瞭解、參與網路安全以強化韌性的重要性。在至少會有一位董事會成員監督網路安全的組織中，有73％的企業、67％的慈善機構具備Cyber Essentials所要求的五項科技控制。

2024年一月，英國政府公佈了新的網路安全治理實務守則，旨在將網路安全作為董事會和高階企業主管的關鍵焦點。

CSLS這份新報告，是在微軟3月18日的報告之後提出，微軟報告發現：僅13％的英國企業對網路攻擊具備韌性。

資料來源：https://www.infosecurity-magazine.com/news/uk-government-businesses-cyber/  

(3)網路安全「盲區」讓企業暴露於風險

Azets Barometer 在2024年一月做了一份調查，突顯了英國公司在網路安全方面存在令人憂慮的「盲區」。儘管網路威脅與攻擊在全球越來越普遍，但僅五分之一的企業說，過去12個月有遇過網路安全攻擊。這麼事故回報率如此低顯示了：大多數英國企業可能沒有意識到、或低估了他們面對的網路風險。

該調查顯示，74％的英國受訪者說，在特定時間內沒有網路安全事故發生。此外，2％說未揭露他們的經驗、5％不確定是否遇到任何事故，這進一步突顯了對網路安全問題可能缺乏意識或透明度。

在這20％說沒有遇過網路安全事故的企業裡，大多數(16%)說過去只遇過一次事故，更少部分的承認有遇過多起。

說有發生過事故的比率，會隨著企業規模有所差異。在較大的公司（特別是中型企業）方面，說沒有發生網路事故的比率明顯高過平均。在營收最高的企業之間(收入在5000萬至9999萬英鎊間的企業)，有90％說沒遇過事故—這個數字遠高過整體調查平均的40％。

這些發現顯示了，雖然較大的企業或許有更健全的網路安全措施，但他們或許也因為投入更多資源到預防性措施，而因此短報或忽視了事故。然而，這也可能顯示：較大組織對安全有錯誤的認知，使他們低估了網路安全漏洞。

Azets的英國網路服務主管Paul Kelly說，根據去年網路攻擊的總數，推估英國企業每分鐘會遭遇4起網路攻擊事故。但這與74％企業宣稱—過去12個月內沒遭遇過任何事故並不相符。縱使是說自己只遭逢過一次事故的公司，都可能比他們自認的次數更高。而且，只要攻擊成功一次，後果會很嚴重。Kelly說，在網路安全風險方面缺乏教育與技術專業，常使公司陷入盲區，使他們暴露於災難性的財務和商譽損失。這可能影響的不僅是自己企業，還包括其客戶（及客戶的客戶）。

公司很明顯地想強化其網路安全措施，認為需對網路安全作策略性投資的評分，平均是6.3分（10分是滿分，其中0分是明顯減少、10是明顯增加），這是受訪者認為未來12個月最重要的任務。

資料來源：https://www.accountancyage.com/2024/02/29/cyber-security-blind-spot-leaves-businesses-exposed/ 

(4)董事會的支持，對於經歷重複網路攻擊下的資安長仍然重要

Business Wire在2023年11月28日報導了一份當日公佈的調查。這份調查是Trellix的Mind of the CISO: Behind the Breach，針對全球重要產業資安長進行調查，瞭解他們在經驗網路攻擊後所面對到的獨特挑戰。

Trellix這份研究，針對員工在1000人以上的公司、共超過500位資安長進行調查，其國家範圍涵蓋了：美國、墨西哥、巴西、英國、法國、德國、澳洲、印度、新加坡、南非、日本、南韓等。橫跨的產業有：能源與公有事業、醫療照顧、公部門、製造與生產，以及金融服務。每位受訪者在過去五年內都至少有過一次網路事故的經驗。

該研究顯示了資安長在網路事故後所面對的狀況：

資安長仍相當被動，直到董事積極起來。有95％的資安長會在攻擊後受到董事會更多支持—有46％會獲得提升科技的預算、42％會調整整體安全策略、41％會實施新架構與標準，以及有38％會設定新職位與責任。

澳洲政府機構的一位資安長說：「最大的學習就是，必須提升董事會層級的意識....不幸的是，必須要等到事故發生後才會這麼做。」

extended detection and response (XDR)是一個預防威脅的可行方案。至少有92％的受訪者同意，在經驗重大網路事故後，需要對所有人員、程序與科技進行改善。此外，有95％相信，若組織落實了XDR，可提早預防他們所經歷到的重大網路安全事件。

有一家英國公司的資安長說，「XDR實際上可把不同來源的資料彼此整合並關聯起來，減少誤報。我們看到安全團隊的誤報疲勞變少，而且XDR可讓我們更為主動積極，而非防禦或事後補救，這有很大的差異。」

網路事故的隱藏性後果對企業的衝擊最大。明確的成本，比如營收損失及保險費升高，都還不是最大的衝擊。資料流失(42%)、安全營運團隊的巨大壓力(41%)，以及名譽受損(39%)，才是對組織最大的負面影響。

一位美國製造業公司的資安長說：「網路事故的經驗，會加強我們需要持續警惕的觀念，不管我們認為自己有多安全、不管我們有多少工具，這都是一場持續的戰爭。」

資料來源：https://finance.yahoo.com/news/board-support-remains-critical-majority-050100579.html 

(5)資安長與董事正在尋找共通的語言

Help Net Security在2023年10月16日報導了Splunk的調查。Splunk的資安長Jason Lee說，長字輩主管和董事仰賴資安長以面對複雜的威脅局勢、變動的市場條件。這些關係會讓資安長有機會成為強化組織安全文化的倡議者，並領導相關部門更有協調性及韌性。藉由溝通關鍵安全指標，資安長也可引導董事會採用新科技，比如生成式AI，以協助強化網路防禦管理並對未來做好準備。

受調查組織的資安長，有47％現在會向執行長報告，這顯示了，他們與長字輩主管及董事會關係更親近。董事會越來越希望資安長指引他們的網路安全策略，並提供資安長機會闡述價值和彌平溝通落差。

許多產業裡為數眾多的資安長說，會定期參加董事會議，這些產業包括：科技(100%)、政府(100%)、溝通與媒體(94%)、醫療照顧(88%)與製造業(86%)。

90％的資安長說，比起兩年前，他們的董事會今日更在意不同的KPI和安全指標。資安長會成功的前三大指標是：安全測試結果、安全投資的投資報酬率，以及購買安全保險的能力。

93％的受訪資安長預期，他們的網路安全預算在明年會增加，但83％預期會縮減組織其他部門的預算。經濟挑戰影響著安全面，有80％說他們注意到：組織在經濟下行時期面對到越來越多的威脅。

92％的受訪者說，安全團隊、IT與工程單位之間的網路安全合作有顯著或些許的增加，這很大程度是由數位轉型、雲端原生發展和更強調風險管理所推動的。

77％指出，與IT和發展團隊在事故根本原因分析與解決方案上合作良好，而有42％說還有改善空間。資安長同意，策略合作對獲得能見度、確保整個組織的韌性而言很重要。

資料來源：https://www.helpnetsecurity.com/2023/10/16/cisos-c-suite-relationship/