(1)在董事會上報告網路價值的4個策略
這篇是Security Boulevard在2024年 7月 16日刊出、Kovrwn所提供的” 4 Strategies to Report Cyber Value in the Boardroom”。
*美國Fortune 500公司僅12%的的董事會成員具網路安全專長,而一份統計顯示,更大的市場存在巨大落差。
*由於科技複雜性及術語,高層利害關係人及預算制定者認為,積極進行網路風險管理,會是一種資源消耗、無助於創造業務。
*與此同時,網路事故的平均成本在升高,董事會越來越尋求與其資安長議合,並要求關於組織網路風險的最新狀況。
*為有效溝通這個風險情勢並協助改變董事會成員常見的錯誤觀念,資安長需要投資他們說故事的技能,並利用各式策略讓網路之概念及指標更具體。
*資安長可利用cyber risk quantification (CRQ),快速將網路風險轉化為更廣的企業用語,協助非財務的利害關係人瞭解投資的效益。
董事會及網路安全之間的巨大落差
現在董事會的網路安全專長明顯不足。光在去年,市場分析發現在美國Fortune 500公司,只有12%具備網路風險管理專長的董事會成員。然而,網路安全規定之增多,加上網路事故成本之加高,突顯了需要盡快改善這個問題。
一般認為阻礙這個進程的原因是:把網路安全視為是資源消耗,而非必要的企業投資。這個常見的誤解,主要源自於這樣的事實—關於網路之討論基本上都是科技術語,對不熟悉這個主題的人而言,根本不可能瞭解它如何為組織加值。
然而,現在的網路風險局勢,變得更動盪而無法維持現狀,不過令人鼓舞的是,董事會成員越來越讓資安長走出自己的領域,要求他們就公司網路安全局勢進行簡報。
與此同時,這個轉變對於已有無盡責任的資安長,帶來前所未料的挑戰:要學著如何以企業語言交談。
轉型為說故事的人,讓網路安全更親民
有效的董事會議合,需要資安長成為說故事的人,這個技能當然不是傳統上科技人具備的。然而,高層的網路風險經理人必須具備溝通能力—讓會議上的每位成員都覺得與自己有關、具體。
利用說故事的力量,網路主管可將抽象具體化、讓艱澀變得有意義,以及傳達如何主動投資網路安全,確保企業未來的成功。雖然取得這樣的人才沒有捷徑,但是專業人士是可以在職涯中磨練這些技能的,是有一些策略可採用,使整個流程加速的。
類比與比喻的力量
類比與比喻是最常被使用的修辭方式,因為他們可以把複雜概念具體化。就像爸媽透過龜兔賽跑的故事解釋堅持的好處,資安長可運用各式現實生活中的狀況,協助董事會成員瞭解健全網路安全計畫的重要性。
比如,網路安全主管可將企業網路安全活動比擬為海灘上的安全措施。雖然有救生員,但是還是有大量的預防措施,將危險的發生降到最低,比如用旗幟表達相對危險的水域。
Cyber Risk Quantification (CRQ)
說故事最直接的方式之一,就是將風險轉譯為財務用語,以強調網路可對企業帶來的價值。CRQ會考慮所有帶來數位風險的內部因素,比如使用的技術、位置、產業以及收入範圍,另外在搭配外部的風險局勢,以提供來年因網路活動而產生的一系列可能損失。
這些計算會協助網路安全主管展現各式措施的企業效益,向非技術出身的經理人提供直接的意義。所有董事會成員一致讚賞的事,就是省錢。
定期與長字輩主管一對一會談
與其他長字輩主管建立定期的討論機制,可協助闡明有效董事會議合的其他方法。像執行長、財務長與風險長之類的主管,都很習慣對董事會表達,展現他們的進展,並未特別專案獲得額外的預算。從這些專家及達成自己目標之溝通策略方面,資安長可以學到很多東西。
這些會議有可能為資安長提供一個壓力較低的平台,分享最新資訊,以及新專案裡伴隨出現的潛在威脅。同樣的,這些長字輩主管可瞭解各種網路風險管理選項在經營上的意涵,並決定在創新與安全之間最佳的平衡方法。資安長可就網路安全提供重要的觀點,而其他長字輩主管可確保考慮到更廣的經營脈絡。
此外,投資這些關係會建立信任、並確保網路安全有納入決策流程。在董事會獲得整個長字輩主管的支持,會強化網路風險管理之重要性,並有助於說服董事會成員優先重視這些問題。
資料視覺化
每個人都有自己獨特的學習方式,每個董事會成員都具備高層策略會議的多年經驗。某些複雜透過視覺化媒體方式呈現,會有助於資安長強化其說故事的能力。圖表及其他資訊方式,容易讓網路安全更親民、更融入。
比如圓餅圖就更容易讓利害關係人瞭解:具體事故如何影響到組織的財務風險。而董事會成員亦可透過圖像來看到,因資料外洩及勒索軟體事件之損失,會對其平均年損預測造成最巨大的影響為何,這可明白顯示:積極投資以減少這些具體事故成本的價值在哪。
打破董事會及網路之間的語言障礙
向董事會報告,對於經驗最豐富的商業人士而言,也是一個令人卻步的任務。然而,向大多數不熟悉此主題的董事會成員作溝通,這個職責的挑戰性更高。不過,當風險事故對企業影響的風險局勢越來越嚴峻時,這就是不可避免的任務了。
當董事會能具體瞭解網路風險管理對組織之影響時,這不僅有助資安長的辛苦被認可,也會帶動更佳的資源配置、讓網路更能連結到整體營運策略,以及最終,更健全網路安全計畫。
資料來源:https://securityboulevard.com/2024/07/4-strategies-to-report-cyber-value-in-the-boardroom-kovrr/
(2)將網路安全升級到董事會:為何董事必須負責
這篇是由Sabika Ishaq所寫、2024年7月12日在Delano刊出的"Elevating Cybersecurity to the Boardroom: Why Directors Must Take Charge"。以下分享一些內容。
傳統上,董事的焦點會在財務績效、監理遵循與策略成長。網路安全儘管越來越重要,但通常屬次要問題。投入度不足,部分是因為董事會什麼都要顧。在董事會上身兼多職的董事,很難充分注意到網路安全問題。
引人注目的網路事故,會上頭條並受到大眾審視,逼著董事會反應。然而,採取被動的方法是不夠的。董事會需要採取積極的態度,把網路安全納入其定期策略監督,而不只是當危機發生時才做。
對此一個值得注意的發展是:網路安全的「推送報告」。此方法是對網路安全狀態及風險,推送給董事會定期、結構化的報告。此系統性的報導,可大幅強化董事會成員對網路威脅的意識與理解,並對網路安全治理推動更主動積極、明智的方法。
像Digital Operational Resilience Act (DORA)與Network and Information Systems Directive (NIS2)之類的新規定,都在拉高標準。這些規定需要管理階層與董事會為網路安全負起責任,而對董事會成員而言,熟悉網路風險管理是最為重要的。
在這些規定下,不具備知識不再是藉口。董事會必須確保他們有必要的專長,以有效監督網路安全。它呼籲要納入熟知網路風險、可在董事會有效處理問題的董事。
為建立有網路韌性的董事會,組織需要採取以下幾個關鍵步驟:
1.招聘熟悉網路問題的董事:董事會應尋求有強大網路安全背景的董事。這或許涉及招聘前資安長、IT主管,或具管理網路風險經驗的專家。
2.持續進修:網路威脅不斷變化。定期的進修教育課程,可協助董事瞭解網路安全最新的威脅及最佳實務。
3.強化報導機制:落實對董事會結構化、定期的網路安全報導,可讓董事具備相關資訊及投入。這包括的不只有報導事故,還有組織整體網路健全及風險局勢。
4.促進網路文化:董事會應推動一個全組織的網路安全文化。這涉及從最高層定調,並確保網路安全整合到組織策略。
5.建立明確的網路安全策略:董事會應確保具備全面性的網路安全策略。這些策略應說明決策與責任、事故回應協議,以及定期風險評估,以維持健全的網路風險態勢。
資料來源:https://delano.lu/article/elevating-cybersecurity-to-the-2
沒有留言:
張貼留言