(1)對董事會而言新的網路安全問題
這篇是由Scott Hyman、Genevieve Walser-Jolly及Kyle Kessler合寫的"Emerging Cybersecurity Issues for Boards",在2024年7月12日於Directors and Boards網站刊出。以下分享一些重點。
華爾街日報報導,全球的網路安全支出在2023年達1880億美元,預計在2024年會到2150億美元。美國現在也遇到網路入侵激增,2023年有3205件,較前一年增加78%,並超越先前高2021年高峰的72%。不幸的是,提高網路安全支出,並不會減少網路入侵。
網路安全風險及個資被盜激增,促進了一系列立法,有些案件還帶動訴訟與和解。網路安全不再只是IT部門專屬的業務而已。要求長字輩主管與董事會參與公司網路安全事宜,此趨勢是越來越盛了。
當立法、規定與和解越來越要求董事會參與網路安全,董事會走在一條火線上:既要策略監督、也要實際著手網路安全及客戶資料的日常管理。縱使沒有新監理要求,未揭露不當的網路安全流程及資料管理,他們也要面對股東代位訴訟。In re Caremark International Inc此開創性案例,訂定了標準與保護。代位訴訟及其衍生,對個別董事與主管的法律責任訂定了高標準。據此,對網路安全漏洞而言,個人責任並沒有吸引太多人注意,因為唯有當沒有安排好資訊報導系統或安全控制、或者刻意不當管理相關措施,才會有個人責任。
除此之外,某些人預測,各州及聯邦監理機關所制訂的規定與規範,會直接對公司管理階層施加個人責任,而民事訴訟會影響到的不只是公司、還有董事會。
所幸,此類對管理階層的直接控告,並不重大、也不應該施加給個人、對董事和主管直接責任的高標準下倖存。在United States Liability Insurance Co. v. Haidinger-Hayes Inc.一案,加州最高法院對該保險公司代理人、代理人總裁的訴訟案,突顯了這個標準。加州最高法院主張,公司管理階層不需對公司負間接責任,而公司董事或主管不會因為他們擔任主管職,就要要為公司侵權行為負個人責任,除非,他們涉及犯錯、或者授權或指示此事。加州最高法院承認,公司董事及主管對其服務的公司負有責任,但是他們不為第三方疏忽(相當於對其公司不作為與違反義務)而負責。換言之,行動也必須構成違反對第三方的義務,尤其須展現不僅是違反主管對公司的義務,繼而對第三方施以個人責任。不過,後來法院解釋說,個人作為公司董事或主管的身份,並不會讓他們免於侵權之責。
公司董事會及其顧問,都應該密切監控:監理環境對於提高網路安全義務之效應,還有董事會職責任何可能的方向性轉變。為了抵禦新的個人責任理論,公司必須要有涉及董事會的健全網路安全計畫。任何問題都應該涉及:
*辨識及任命高階管理層的人員,其需要具備網路安全之專長,而且有明確的責任。
*取得及時且充分的網路安全簡報。
*針對適用於公司持有資料之網路安全標準和管理,瞭解其發展。
*重新評估公司保險狀況,不僅管理網路安全風險、也包括董事和主管。
資料來源:https://www.directorsandboards.com/board-issues/cyber-risk/emerging-cybersecurity-issues-for-boards/
(2)董事會的盲點:新的網路安全指標架構如何重塑董事會對話
這篇是2024年7月3日在Security Boulevard刊載、由Gaurav Kapoor所寫的"Boardroom Blindspot: How New Frameworks for Cyber Metrics are Reshaping Boardroom Conversations"。以下分享一些他的觀點。
新法規在全球都會引發改變。美國SEC的新網路安全法規,在2023年12月生效,而歐盟的Digital Operational Resilience Act (DORA)則將在2025年一月完全實施,這對組織而言是更嚴格的指導方針,特別是對上市公司來說。這些法規,會重新塑造向利害關係人溝通網路安全及風險管理之方式,包括董事會。
過去監理機關從未有過如此清楚的訊號—資安長需要改變與董事會的對話,並向董事展現—網路安全風險多麼迫切地影響到其企業。以下是作者所建議的三種具體方法,讓領導人可以簡化風險報導、保持遵循,並讓網路指標對所有領導人都有意義(縱使是那些非風險專家的)。
1.強化第三方風險報導
董事會關注第三方風險已有數年時間,尤其當Solar Winds在2020年資料外洩案上了頭條後,使得供應商的風險受到外界注意。
在歐盟,DORA規定了關鍵第三方供應商的監理監督,比如雲端平台或資料分析服務。金融機構被期待要有健全的第三方監控及事故報導流程。此營運韌性之法規,在世界上許多國家都有,而有鑑於風險彼此關聯的性質,治理機構特別注意第三方風險的重要性,一點也不令人意外。
為了簡化和溝通第三方風險環境,資安長應該制定一份集中化的地圖,內含IT承包商、他們所服務的業務單位、他們在哪運作、相關法規及控制,藉此董事會對第三方風險領域,就會有更清楚的圖像。而這就更能容易瞭解到,如何配置資源以獲得最佳的影響。
2.為董事會制訂標準、並提升標準
有一間全球最大的銀行,在2019年發生資料外洩事件,因為Amazon Web Services前員工取得了未經授權的進入管道,竊取上百萬筆銀行客戶個資。此引發了外界高度關注董事會動態及風險。本案是一起重大案例,因為缺乏董事會監督、考慮不周的雲端安全實務,以及無視於不斷變化的安全局勢。這會成為重大案例,也突顯了董事會為何要為公司帶來價值、專長及監督,而不是一堆名人的集合而已。
值得一提的是,監理機關在最近的網路安全法規裡,正為董事會制訂透明與當責的實務作法。對美國公開發行公司,SEC現在要求要報導董事會的年度活動,包括其對網路安全風險之監督、他們在評估與管理重大網路安全風險上的角色與專長,以及公司如何向董事會及風險委員會報告網路風險事宜。在SEC的新架構下,董事會或許也要參與網路安全事故重大性之判斷,而這引發了如此的問題:當前的董事會成員有足夠的風險經驗,可合理判斷重大性嗎?
監理機關表示,當事故發生時,不能、也不應由資安長單獨運作,或僅獨自承擔責任。
領導人應看待這些董事會方面的更新規定,因為這是在呼籲採取行動:你的董事會具備真正的網路安全或風險管理經驗嗎?若問題為「否」,則或許是時候調整董事會,以確保董事具備風險經驗。當向更廣的董事會溝通時、或做出技術性網路風險決定(比如判斷重大性)時,這些專家就會是資安長最大的盟友。
3.保持簡單
理想上,董事會需要有一位以上具風險經驗的高階經理人,但現實是,董事會內大多是對風險管理方法不具技術知識的高階經理人。風險與網路安全資訊,必須包含易於瞭解、企業導向的語言。
從以金錢為基準來量化風險開始。量化可協助所有人瞭解:企業如何預估的風險、優先重視的風險控制,以及採取預防性措施面對風險。
依董事之專長及董事會報告目的,提供他們量身訂做的風險資訊。報告是沒有一體適用的方法。資安長可把風險指標分為數個領域,像安全、財務、第三方或員工意識風險。把資訊匯聚起來,可協助非技術性的高階經理人瞭解:風險如何彼此連結,以及預估這些風險方面做了什麼事。在選擇向董事會報告的指標時,資安長也應該考慮報告的目的。審視網路安全的定期報告,應該與個案性的報告不同,後者或許在重大收購、或有新的業務線之前,要詳述事件或報告特定的指標。
最後,使用類比。使用現實世界的例子,對於讓董事會成員瞭解風險局勢、做出最有事實基礎的決定,會有很大影響。類比可對複雜問題創造共同的基礎、加速理解。
(3)與董事會網路安全委員會合作
這篇是由Steve Vandenberg所寫、2024年6月26日所寫的"Working with a cybersecurity committee of the board"。未來會有越來越多公司設網路安全(或資訊安全)專屬的委員會,或者資安長。這一篇作者的分享,值得參考。
作者在公開發行公司的董事會服務,協助董事會設立了網路安全委員會、並共同領導。作者反思了在Global Black Belt服務的經驗—作為資安長、IT安全與遵循團隊的顧問,也研究了設立網路安全委員會的最佳實務,以便支持的公司IT安全狀態。其中有一部分會促進與資安長之間建立有生產力的關係、認識並溝通其團隊的重大工作。
這一篇文章是可供資安長及IT安全團隊學習,幫助他們建立與網路安全委員會之間的關係,邁向成功。
IT安全部門,被視為是技術專家的領域,因為越來越危險的安全局勢、以及為因應廣受注目的安全事件,提高了投資。但網路安全並沒有被董事會視為重點領域,一如他們看待財務、審計或高階經理人薪酬。這正在轉變。董事會裡有越來越多的董事具備IT安全專長,而且要求與IT安全團隊要有更多溝通,通常是透過資安長。
網路安全委員會的職權範圍,包含從組織IT安全團隊取得的資訊。為優化這層關係,安全團隊需要瞭解:董事會及網路安全委員會如何運作。
網路安全委員會有董事會(也可能包括執行長)所授予的職權範圍。此職權範圍會在公司文件裡說明—陳述該委員會之責任、工作事項、報告頻率,以及需要審閱的資訊種類。資安長應該要瞭解此職權範圍,以便瞭解如何最佳、最有效地與之合作。積極主動的資安長,可推動職權範圍之構成、避免衝突與無效率,還有建立好關係以邁向成功。
這個委員會,需要以可查核的方式履行相關責任。
董事會或許每年一次從資安長那就當前狀況計畫獲得簡報。資安長或許會被要求臨時就風險、事件或其他新議題提供看法。
網路安全委員會是董事會的次團體。由一兩位具相對高水準網路安全專長的董事領導。他們應該要:
*瞭解IT安全部門、政策、當前情況及計畫。
*針對與公司風險管理局勢和營運目標有關的當前情況與計畫,提供意見。
*辨明需要IT安全部門關注的當前情況與計畫領域。
*向董事會及高階經理人溝通阻礙因素並倡導安全功能。
董事會成員通常也會服務其他多個董事會,並在其他組織擔任高階職位。故他們需要的資訊是有焦點的,如此才能快速消化、有信心能向利害關係人報告。有效的溝通包括:
這對企業有何意義?
網路安全風險及規劃,應該要比照董事管理財務與營運風險的方式溝通。
計畫之進展應該以脈絡方式呈現。應該分享至少3年的安全路徑圖進展、並追蹤一段時間的進展和改變。
焦點應該是一個整體的IT安全策略及建築,其中含有基礎設施、服務、內部、承包商、本地、雲端與文化。
目標資料
IT安全團隊的建議,應該要與支持它的客觀資訊一起呈現。
應該符合KPIs,並呈現隨時間變化的趨勢。委員會應該審視被監控的重要事項,但不要期望能深入每項KPI。
符合委員會之職權範圍
與網路安全委員會及董事會合作,牽涉與不同團體溝通—他們的第一手經驗未必是資訊科技。我們需要教導、也需要學習。該委員會是在此職權範圍下運作的。達成職權範圍要求是該委員會首要的焦點。這件事先於我們要討論的主題。要將這些主題與委員會的職權範圍連結起來。
保密
某提供給網路安全委員會的資料,需要保密。它們應該依公司政策上浮水印或加密。董事會成員不是員工,他們可能沒有公司電郵信箱,或能夠進入公司網路。該工具與程序需要考慮到這一點。
網路安全委員會向董事會的報導也要保密。除犯罪者以外,分析師和試圖破壞公司聲譽者,亦可能會斷章取義。安全控制應該與資安長達成一致,以確保提供給網路安全委員會的文件、以及其所製作的文件,僅限於委員會、公司領導層及資安長流通。
某些董事會文件會提供股東、或對外公佈,比如董事會議事錄。這些文件需要資安長或網路安全委員會提供看法,應該夠廣泛不會讓公司暴露於風險。
從與委員會合作開始
資安長及其團隊,會受到董事會的重視,並藉此倡導保護公司所需的資源與文化改變。與委員會之間具有生產力、有效的互動,可建立與董事會之間的夥伴關係,這可保護公司並增加價值。
沒有留言:
張貼留言