(1)讓財務長重視網路風險,需要資安長將之轉化為財務語言
這一篇由Balbix提供、2023年11月8日刊載於Nasdaq網站上的文章"Cyber Risk in CFO Lingo CISOs Need a Financial Vocabulary",也是探討如何讓資安長走自己的範疇、和其他長字輩主管合作的看法,尤其是能提供資源的財務長。以下分享一些要點。
數年前,財務長常把網路安全責任交給IT部門,認為這不過是營運細節而已。不過,最近消費者產業的一些事故顯現了:監督這個領域的深度意義。網路入侵會重創公司,預期會使季銷售下滑23至28%。
在作者最近的對談裡,美國製造業大公司的資安長表示:SEC法規相關行動已躍升為他們最重視的前三大事項。讓公司安全措施符合這些法規不只是為了遵循,還要強化公司整體網路安全。
SEC的規範強調,以法律上認可的「重大性」詞彙,來架構網路安全風險。這個轉變,讓本就捉襟見肘的網路安全團隊更為複雜性。為了對此回應,財務長常會尋求高昂的顧問公司外部評估,但這些評估很快就會過期,讓資安長在無盡的追趕循環裡,而且也需要向董事會、SEC溝通持續存在的風險。
有鑑於此轉變的局勢,資安長必須用一些工具與見解來幫財務長瞭解:網路安全風險的重大意義。凸顯網路安全投資的效益並確保法遵,資安長就可讓財務長做出明智的決定。
溝通很不容易,尤其當這需要跨領域合作—資安長與財務長—時就更為複雜。網路安全社群在溝通時會用大量的專有術語,但是財務長基本上都不懂。有效溝通需要的是不用術語、簡單易懂的語言,確保彼此有一致的網路安全優先性,避免訊息傳遞失敗。
現在的好消息是:網路安全的優先性升高,從只是一個預算項目,變成財務長關注的事項。當他們認知到網路安全的重大影響時,就會想要知道更多。這個開放心態創造了新的機會,讓資安長在網路安全上可指引財務長,同時對公司財務與監理局勢發揮影響力。
瞭解財務長的心態很重要。他們瞭解資金、精通營收、支出、利潤與損失。威脅利潤率的風險是他們最關心的事宜。
關於網路風險,財務長想要知道的是:他們面對到多大的風險,以及如何系統地降低這些風險到可接受的程度。他們對趨勢想要的是簡潔的進度報告(其中對趨勢有清楚的陳述),能強化他們向董事會和SEC報告時的信心。則,資安長如何在與財務長有共鳴的狀況下有效溝通呢?
財務長在網路風險管理上,重視結構化、ROI為主的策略,量化方法的需求是必然的。此方法會讓財務長的財務對話更協調、增強可信度,以及提高績效。以下是為何不得不量化網路風險的原因:
SEC的新要求
監理期待正在轉變,特別是SEC關於網路安全風險的定案版rule S7-09-22。此規範關注網路風險的重要性。透過將網路風險重大性量化,組織就能更明確地符合SEC的要求,並減少潛在監理影響。
明智的決定與優先化
以財務用語量化風險、並討論當前如何減緩風險的控制,可協助展現降低網路風險程度之安全計畫的有效性。對此的量化與討論,可讓財務長做出明智的決定,並重視組織內的網路安全措施。
有效報導
制定清楚及有信心的報告而讓財務長、執行長與董事滿意,對傳遞網路安全計畫之價值很重要。以內在風險、當前控制、其他的風險、額外減緩風險之需求及標的風險來報告資訊,會有助於說一個吸引人的故事,並讓最高管理層有共鳴。
重視及證實網路支出是正當的
若可量化網路風險,用投資報酬率(ROI)來呈現網路安全計畫就會變得容易許多。你可以藉由強調結果,來證實維持健全網路安全局勢的必要支出是正當的。
為了有效向財務長溝通網路風險的影響,你需要包含以下四個特質的方法。
實用性:方法應該來自於清楚瞭解企業與潛在攻擊者。它必須是實用的,有考慮到你有的資料、你需要蒐集的資料以及可用來分析資料的資源。
自動化:分析網路風險涉及處理大量的資料。為了有正確性與一致性,自動化對計算而言很重要。自動化會確保流程是連續、可擴展的,並減少人為輸入的錯誤。
可調查性:結果具可調查性,對於能有效向財務長溝通而言很重要。透過將資金轉化為特定的漏洞與風險,你就能精確地指出整體風險的源頭並重視之,落實有效減少風險的行動。
可行動:最後,你提供的資訊必須是可採取行動的。相對於僅提出問題,資料應該要能指引具體的減少風險行動、確保每個數字都受到解決方案的支持,藉此有效減緩風險。
以下是一個例子:
當你向財務長報告風險時,應該避免使用模糊的說法,比如「我們有個500萬美元的風險」。
這麼說的問題是:其估計是理論上的,沒有具體的資料。會看起來頗模糊的原因是:它沒有可追蹤性,讓決策者不知「接下來要做什麼?」
如果按前述四個關鍵特質的整體性方法來描述,你可以說:「我們面對到500萬美元的風險,主要是因為太慢去處理重大資產方面的關鍵問題,讓對手有可趁之機。過去一季裡,我們藉由對持續能見度的自動化、重視及鞏固這些資產的及時補救措施,強化了風險管理。因此,我們預期在未來兩季實際上可降低3000萬美元的風險,預期會有30倍的投報率。」
資料來源:https://www.nasdaq.com/articles/cyber-risk-in-cfo-lingo-cisos-need-a-financial-vocabulary
(2)資安長為何需要重思與董事會的關係
這篇"The Stakes Are Rising: Why CISOs Need To Rethink Their Relationship With The Board"是由Brian Spanswick所寫、2024年4月23日在Forbes上刊出。以下分享一些要點。
安全主管未能保護好客戶和公眾的最佳利益,會有嚴重後果(尤其是今日網路攻擊盛行時)。Uber的前資安長因資料外洩判刑。在2023年,美國SEC控告了SolarWinds。
安全不再是方格打勾的作業而已。對安全主管和領導人而言,要優先向董事會就組織風險提出建議,最重要的是,當遭遇網路韌性挑戰時,利害關係人可如何減少這類風險。
資安長傳統上的角色相當不同。資安長每季要與審計委員會開會,報告組織的安全狀況。該委員會的唯一目的是:評估營運目標脈絡下的風險。
問題是,資安長要參與這些會議、向委員分享廣泛的安全報告,並閱讀執行摘要中的安全指標清單(對重大事件的審視、已被入侵的資料外洩數,還有已解決的漏洞)。會議上的每個人都會與董事會一起翻閱資料,有可能根據遵循監理要求而設定了錯誤的安全水準,但對公司當前的安全狀態所知甚少。
在網路安全失利的成本、對企業的影響都在升高之下,資安長不能只提供資料,並相信審計委員會、董事會具備專業能做出正確企業決定。資安長必須改變他們向董事會建議的方式,確保以董事會懂的方式適當評估及報告風險。這就代表,要將資料轉化為真實的企業風險,並說服董事會和高階經理人:整體資料與系統的安全是他們的責任。
以下是三個安全主管可改善其與董事會關係的方式:
1.以資料導向的證據,用董事會觀點來評估風險
可接受的風險水準,是按每個企業的優先事項、目標、客戶要求與市場而定。資安長應該從董事會的觀點進行評估,並為他們的優先事項和目標、以及具體風險要素如何阻礙目標達成負起責任。
資安長也須具備明確的觀點,以利對董事會溝通。問問自己,「如果董事會知道我所知的事情,他們會如何做結論、他們會考慮什麼行動?」不要以為提供資料後,董事就會做出正確的決定。董事會其實需要資安長依資料支持的堅定立場。
2.將風險放進企業目標的脈絡裡
資安長傳統上會使用「可能性乘以影響」的公式來計算風險,並分成高中低三類。將影響以金錢為單位,會更有效溝通對企業重大性的影響,並對減少風險與其他企業優先事項競爭投資時予以協助。資安長通常在將風險量化為金錢上會有所遲疑,因為風險評估不是精確的科學,而他們對推估金錢的準確性沒有信心。但記住,董事會要看的是可能性,因此只要估計夠正確,足以評估受評領域、並與其他企業投資一起評估即可。正負30%的準確性就達到要求了。
資安長無法100%正確,他們只要方向上正確、資料足以支持其立場即可。
3.制定可行的建議,產生影響力
不只要辨識風險,還要提出可行的見解來減少企業風險。資安長也應該判斷,該漏洞需要立即採取行動嗎?還是長期的安全局勢問題?資安長需要透過使用資料來支持其主張以建立可信度,而不是要誇大組織的風險。在有了令人信服的案例,董事會就會傾聽並同意執行建議。
(3)關於網路安全策略,資安長必須問自己的5個問題
這篇是2024年7月8日在The Hacker News網站刊載的"5 Key Questions CISOs Must Ask Themselves About Their Cybersecurity Strategy"。以下來分享這五點。
最近Heidrick and Struggles的研究顯示,資安長與執行長之間存在令人憂慮的不一致。僅5%資安長能直接向執行長報告,顯示對高層可能影響力不足,而且有三分之二的資安長,在報告結構上距執行長兩階之遙。
這意外,大多數網路安全主管距離組織決策層仍然很遠。Ponemon Institute 研究也發現,僅37%的組織認為,他們能有效運用資安長的專長。Gartner的研究突顯了類似的趨勢:僅10%的董事會現在有專屬的資安委員會。
儘管資安長有更直接的影響力,但將風險轉化為明確的企業語言,仍存在挑戰。
作為資安長,可以問問自己,以下五個關鍵問題是否有助於你縮短與董事會/高階經理人的溝通落差、提出清楚的網路安全圖像,以及獲得有效管理風險所需之支持:
1.我如何為網路安全預算辯護?
若無法明確辯護,則預算就有被縮減或斷然取消的風險。因此,證實你的目標不僅是可達成的,還要透過網路安全的投資報酬率證明是值得的。向質疑者展現:透過確保能保護關鍵資料及基礎設施的資源,最終可以保護組織的財務健全。
2.我如何掌握風險報導藝術?
如果你想要改變高階經理人對網路安全之認知,那麼精通風險報告就很關鍵。非技術出身的聽眾,很難瞭解複雜的安全威脅。這是為何你的報告需要清楚、資料為基礎。他們需要以企業語言進行量化,強調資料外洩而來的潛在網路損失。藉此,你會展現出保護組織財務之安全投資的價值—把網路安全從成本中心轉為業務推手。
3.我如何慶祝成就?
認可團隊的成功,會促進組織道德、增進安全意識文化,並且突顯網路安全投資之價值。
4.我如何與其他團隊更佳地合作?
有效能的資安長會瞭解網路安全並非獨奏。強大的安全仰賴於整個公司都致力於謹慎小心。這是為何與其他部門合作(比如IT、人資、法務)很重要。藉由合作,資安長可將安全意識訓練整合到員工就職訓練及發展計畫。此外,你的合作措施可帶動更明確的、符合業務流程的安全政策。合作會強化事故因應協議,確保對安全入侵事故有迅速且協調的因應作為。
5.我如何最有效地關注問題?
關注於真正重要的問題,會確保資源的有效運用。這代表要辨識出最關鍵的安全風險、將之連結到企業營運目標,以及策略性地處理。拒絕其他不重要的事宜,並關注於有高度影響力的措施,你可以優化安全狀態,並將組織整體的韌性提升到最大。
網路攻擊潮升高,需要資安長與董事會之間有清楚的溝通。為了縮短此落差並獲得重要支持,資安長應該優先重視有效的風險溝通。拋棄術語、將複雜的威脅轉譯成企業語言。強調網路攻擊的財務衝擊、可能的名譽損失,以及使核心營運中斷。藉由將網路安全架構成營運問題,資安長可確保董事會支持重大安全投資。
此外還要記住:溝通可不只是提出問題而已。資安長也應該展現進度,並從基本指標升級到發展資料為基礎的報告—顯示安全投資的有效性。應該要追蹤關鍵指標,比如成功阻擋攻擊、或識別與抑制入侵。這些資料會有助於訊息傳達。
資料來源:https://thehackernews.com/2024/07/5-key-questions-cisos-must-ask.html
沒有留言:
張貼留言