加一個資安長到董事會,是常見的舉動,但是要改善網路韌性,這可還不夠。Manuel Hepfer所寫的"One CISO Can’t Fill Your Board’s Cybersecurity Gaps",在2024年5月23日刊載於MIT Sloan網站。以下分享一些他的看法。
今日董事會面對不斷變化的安全局勢,以及越來越高的網路安全治理期待。美國SEC在2023年七月採行了新法規,要求美國上市公司陳述:董事會對網路安全威脅風險之監督;還有說明:董事會或相關委員會被告知此類風險之流程。類似的監理措施,歐洲與亞太區也正在制訂。
不過許多董事會成員發現,達成這些期待與監理要求,挑戰性頗高。根據 The Wall Street Journal的研究,98%的公司董事並不具備網路安全專長。考慮到董事會要運用其經驗看不只看好消息、探知公司事務真正狀態,故這件事非常重要。
對此問題最直觀、最快的解決方案,就是趕快聘一個現任或前任資安長到董事會。因此,Heidrick & Struggles的調查發現,資安長當董事的狀況在這一年增加超過一倍,從2022年的14%升至2023年的30%。
表面上看,這看起來是雙贏:董事會提高了重要領域的技能,而許多資安長也加入了董事會,是合乎邏輯、使職涯豐富的一步。資安長進董事會更能將網路安全納入最高層的營運討論。更多資安長當董事是個好新聞,不是嗎?
只為了網路安全專長而聘資安長當董事,其實是誤入歧途,這有兩個主要原因。首先,董事會應該是集體行動。不像管理階層,他們是個別負責,董事會理想上是以單一一個單位,針對問題達成共識,比如對策略、風險與治理。
董事會是集體做決定,每個成員都負有集體責任。沒有任何一個董事應該單獨行動,每個董事都具有技能,更廣地貢獻董事會的工作。當網路安全風險出現在議程上,聘一位有網路安全專業的資安長,而其他董事都靠他就好,這件事就違背了董事會集體運作的基本原則。
其次,考慮一下資安長的核心專業領域—通常是科技與安全。為了對董事會作有意義的貢獻,董事應具備各領域的素養,比如策略規劃、財務專長、地緣政治因素、環境問題與受託義務。在持續數日的董事會議程期間,網路安全風險或許只會出現幾分鐘。資安長也需要具備其他領域的素養,這樣才能扮演好董事的角色。
與其聘資安長的目的,只是把瞭解網路安全風險授權給某一位董事,倒不如董事會集體提升其集體知識與專長。這並不是說,每位董事都必須馬上就提升他們的知識。某些個別的董事或許很願意參與網路安全,他們可協助領導討論。然而,重要的是不要變成這樣:當網路安全出現在董事會議程時,所有人都讓某一個董事去瞭解、做決定。
許多董事會開始對網路安全風險做些事,但很少會採取全面性的方法、以進修方式提升整個董事會的專業。以下四個策略,是作者納入到董事會工作裡,以提升其網路安全能力的:
1.優質的時間。個別董事可使用內部資源來增進其網路安全素養。董事長和董事可要求:與資安長有一對一的時間,不讓其他人在場。
董事長可問題包括:
*新的預算裡有哪些必要項目沒有通過?
*從營運的角度看,有哪些最大的網路安全問題?
*最近一次進行測試或計畫以回應嚴重網路攻擊,是什麼時候?
*董事會可以做什麼,來促進董事會的網路韌性?
此會議的目的是,發現沒有向董事會報告的資訊。此外,董事可要求網路安全風險方面更詳盡的內容,以補充在董事會上常見的簡短、高度摘要的簡報。
當在一間公司內審視這些問題時,董事就可以更熟悉狀況:公司最嚴重的網路安全威脅、風險及其潛在影響,還有最有迫切的網路安全挑戰。分別花相當的時間給網路安全,可以讓董事會瞭解組織特殊的知識,藉此就可以用更有意義的方式討論。
2.教育課程。個別董事可去商學院上網路安全風險方面的教育課程,比如牛津給企業領導人的網路安全計畫。這些課程涵蓋了網路安全風險的基礎,還有在監理和科技界的新發展、趨勢與風險。此課程也會讓董事從其他公司與產業,取得個案研究與最佳實務,瞭解如何管理與治理網路風險。
3.網路學習論壇。為提高所有董事會成員的集體專業知識(也包括其經營團隊的),某些公司會設立定期網路學習論壇。作者的經驗是,這雖然不常見,但是個有價值的作法。
這些每季、或半年進行一次的論壇,是在正式治理流程之外的。由執行長主持論壇,邀請整個董事會和經營團隊參加,並緊密地與IT和網路安全團隊就議程合作。此論壇之目的,不是要所有人負責,而是創造一個安全的環境,可彼此學習、交換概念。
領導此論壇、分享資訊的人,大多是內部同仁。董事會成員不會被要求考慮其他公司的選擇,而是要向公司內看,改善對共同挑戰及解決方案的集體瞭解。
學習論壇會為董事會成員提供另一個機會,不只看正式董事會上提供給他們的資訊,而是去瞭解組織韌性的真正水準,這是在非對抗性的環境之下,且管理階層和董事會彼此不是對立的關係。
4.預定的董事會會議。治理網路安全風險,通常會授權給某一個委員會,比如審計、風險或科技。這個層級是做最多治理工作的地方。但整個董事會要花大量的時間,從整體角度來看網路安全風險,也是一樣重要的。
在每季董事會後召開一次預定會議,是董事會可提高其網路安全知識最有效的機會。
作者曾遇過董事會每年再另行召開一次會議,以關注網路安全風險。某些董事會選擇和外部顧問合作,設立與舉辦這場會議。此提供了機會邀請專家來公司,討論網路安全的具體面向。作者鼓勵董事會邀請其他企業經理人(縱使是其他產業也好),透過攻擊事件來分享他們的故事、學到的教訓。作者也鼓勵事前與個別董事進行準備訪談,以便依據公司、董事會網路專長之水準量身訂做此會議。
預定會議是避免自滿的好方式。董事可從其他人那邊學到教訓,並發現治理流程哪邊可能會弱化組織面對網路攻擊時的韌性。每個預定的董事會會議,都應該予以追蹤,以確保每位董事知識有成長。
資料來源:https://sloanreview.mit.edu/article/one-ciso-cant-fill-your-boards-cybersecurity-gaps/
沒有留言:
張貼留言