美國SEC研擬網路安全相關法規時,有研究是否要要求董事會具有此專長。這一則"The SEC Wants Board Cyber Expertise: How Many CISOs Are Board-Ready?"是當時由Brian Walker所寫、2023年6月7日刊載於Forbes上的。點出了現在美國公司董事會在這方面的困境,以及資安長在其中的意義。以下分享一些要點。
作者先前寫到,Russell 3000中有90%的董事會沒有任何具網路安全專長的董事。而SpencerStuart在2022年七月所公布的報告說,在2021年進入S&P 500董事會的456位新任獨立董事裡,僅18位(3.9%)具備「網路安全、IT、軟體工程或資料與分析相關部門之領導經驗。」
找到董事會層級的網路安全專家,並非易事,可能需要的工作包括:招聘精通網路事宜的新董事、與外部專家顧問議合,以及提高現有董事與經理人的技能。
公司若在這方面沒有資格充足的董事,將必須要盡快找到對的候選人。當公司領導人要填滿這些職位時,他們應該考慮一種精通網路董事的可能來源:資安長。
本質上,資安長是公司內部的網路安全專家。一般的認知是,資安長是非常技術性的;他們不一定適合從關注非常細節的營運面,轉向廣泛、策略性的概念。但考慮到董事會在網路安全方面人才出奇短缺,公司領導人應正視讓資安長擔任董事。資安長可帶來技術專業及知識,而這是董事會在科技上領導公司邁向成功所需的。這方面也存在著落差—Deloitte在2022年的報告顯示,38%的董事及42%的長字輩經理人認為「董事會的科技能力不足」,是「董事會監督數位、網路及新科技」的五大挑戰之一。
為了衡量資安長對董事會的能見度,作者與IANS Research、Artico Search合作分析了Russell 1000 (R1000)公司。作者分析發現,僅6%的R1000資安長有擔任董事,而這些資安長,都共同具備以下5個特徵:
*安全任期:擔任資安長至少5年,以及擔任廣義的安全工作達10年以上。
*董事會經驗:有安全部門以外、一般IT職位或非安全諮詢職位的經驗。
*規模:跨地區或甚至全球組織的領導職位。
*高等教育:在科技、工程、企業或法律方面的高等教育程度。
*多元性:來自於少數族群的資安長,可協助看到盲點並支持達成多元性目標。
若按以上成功董事資安長的五個特質,作者的分析顯示: R1000資安長僅14%可能具備以上四至五個關鍵特質,是一個強大的資安長。另外有33%具備三個關鍵特質,是一個相對強的候選人。
若這14%的資安長全都進入董事會,則精通網路董事之短缺問題,會從原來的90%降至76%。不過,還是有四分之三的公司缺乏具網路安全專長的董事。雖然還是有關鍵特質較少的候選人,但作者認為,這不足以讓趨勢向前邁進太多。因此底線是,資安長可以協助、但無法完全解決問題。尋求真正具備網路專長、但又無法聘到資安長的公司,必須擴大其搜尋範圍到:網路安全公司的企業領導人、具相當網路專長的資訊長,以及外部非董事的專家顧問。
作者為深入瞭解這些數字,進一步分析顯示:71%的董事資安長具更廣的經驗,相對於R1000所有組織的平均是32%。相同的,62%的董事資安長有受過高等教育,而整個R1000僅38%有類似教育程度。董事會搜尋標準通常會包括這些特徵以作為關鍵的鑑別指標,而且應該繼續這麼做。
不過軟技能還是很關鍵。董事會是由一批具高度才能與成功的人士組成,緊密地合作。他們的對話通常很細緻入微的。主題是策略且一閃而過的。與他們合作需要有清楚、重點式的討論,以便做出困難的決定。有鑑於這些特性,資安長需要有很強的溝通、合作及決策技能,可不能只有高超的科技技能。不幸的是,軟技能通常很難衡量。公司領導人在調查過程中,應盡全力評估資安長的人際技能。
許多資安長對於成為董事,是有興趣的,但這一塊的供不應求,代表資安長很快就會內定。有鑑於資安長是很搶手的工作,多數資安長可能會被限制只服務於一個董事會,而事實上,光服務一個董事會,負擔可能就很重了。
.jpg)
沒有留言:
張貼留言