(1)網路風險如何成為企業風險
這是2024年8月23日在IT-online網站刊出的文章"How cyber risks have become business risks"。
Fortinet的歐洲、中東與非洲區資安長Alain Sanchez寫說:網路風險就是企業風險。所有會威脅IT的事,都會威脅公司。
或許資安長最重要的事,就是針對實際影響力把網路風險加以排序。這需要對業務和技術有同等的理解。
這個評估有些部分需要瞭解組織價值鏈裡面的優先順序,並據此確保安全。第二個挑戰就是從組織外看,哪些外部力量可能會產生影響。在這些外部力量中,作者發現監理架構—這些新法規都很重要。它們會保護人員、智慧財產,以及能夠發明與創新。從這個角度看,遵循標準是好的,但是需求是每日增加的。
這挑戰的很多IT部門,他們必須要問自己:如何把法律考量納入過去純粹的科技領域內?解決方案應該從公司最高層開始。越多董事瞭解網路風險與政府規定越好。
歐盟的Digital Operations Resilience Act (DORA)是針對歐洲銀行與金融系統,不過,其思維與實務作法,亦可應用到金融領域之外,特別是當風險成為這些實務的核心部分時。讓董事會準備好面對網安全風險,在今天是關鍵。
以下是四類支持這些計畫的考量:
1.優先重視復原:非常完善的排行,唯有透過董事會和經營團隊之間定期交換意見才能成型。董事會背書非常重要。否則,誰會把自己的活動視為不重要?然而,這件事不好做,因為排行一事需要讓資安長與團隊成為企業的核心。
2.防禦策略:評估關於產品、服務、人員、流程的正確結合,十分重要。下一個世代的安全是透過整合,而不是外加。
3.提供選項:這是關於提供資訊與一系列方案,最終讓董事會決定。資安長的工作之一,是提出不同情境作為一系列明文措施:投資1、時間表1、效益1與風險1。之後,資安長可建議第二、第三步。選擇如何進行,是董事會的工作。藉此,資安長會成為由共識做出決定的執行槓桿,而非只在出事後被責備。
4.高階領導:資安長需要能直接向執行長報告,否則這個工作都會做不久。不清楚、軟弱的支持結果,不只會讓工作者不滿:公司的生存也會陷入風險。在2024年以後,不把網路安全當成是公司策略,會是重大治理風險。
資料來源:https://it-online.co.za/2024/08/23/how-cyber-risks-have-become-business-risks/
(2)資安長角色會如何轉變
這篇是2024年8月21日、由Christian Have所寫的"How the role of the CISO is set to change"。在enerprise times刊出。
資安長角色一直都不容易。他必須在高度技術與策略領域架起橋樑,並滿足兩領域的複雜任務。
第一個是瞭解技術,以維持監督資訊資產和先進的安全專案。第二是要權勢及轉化風險為策略,讓董事會和經營團隊可以理解。此職位現在壓力越來越大,造成高度的離職率。
State of the CISO 2023-24這份報告顯示,資安長工作滿意度創新低。有75%考慮要換工作。這個原因有很多。其中兩個是經濟下行逼著資安長用更少的錢做更多事、法律暴險增加。
網路威脅程度因地緣政治不穩定、AI興起以及惡意軟體商品化,而持續升高了。同時,要求資安長負責的規定也只會升高。
在2023年出,美國SEC更加嚴格的揭露要求。其中要求董事會監督網路安全威脅之風險,還有在評估與管理網路安全威脅之重大風險方面管理階層的角色與專業。
今年,修訂後的Network and Information Security (NIS2)規定將在十月對整個歐洲生效。NIS2也規定了高階經理人在事故報導上的個人責任。違反者有可能面對個人的罰款、解雇,甚至禁止再擔任管理職。
NIS2也適用於與歐盟交易的組織。預期也會適用於英國,但在七月提出的Cyber Security and Resilience Bill,要求會縮減一些。
另外一個挑戰就是網路安全人力不足,此沒有減緩的跡象。ISC2的Cybersecurity Workforce Study 2023顯示,這一行技能方面的短缺,快要接近從業者人數了(前者是400萬人、後者是550萬人)。此落差在英國以最快的速度增加,每年成長30%。
Gartner預估到2025年,有超過一半的重大網路事故,會因缺乏人才或人為失敗而起。資安長必須處理的不僅是勞動力枯竭,還有風險大幅上升。
現在需要的還有與企業風險更佳的連結。這代表要在回應式的角色(比如安全監控、威脅偵測與事故管理)裡加入更積極的角色,比如風險管理、漏洞管理,以及辨識和評估安全等。
此外,AI也會帶來巨大機會。它可協助促進溝通—關於事故、要採取的對應行動,以及企業對相關利害關係人之影響,包括高階管理層、董事會、政府組織以及溝通專家。
我們看到未來監理壓力之升高,以及威脅範圍的持續變化。這些將讓企業更容易遭受聲譽傷害、財務損失,以及法律結果。這會讓資安長變得不可或缺,而且對董事會的價值貢獻會提高。但與此同時,資安長也面對到挑戰,因為他們要在需求和發揮最大防禦能力之間取得平衡。
資料來源:https://www.enterprisetimes.co.uk/2024/08/21/how-the-role-of-the-ciso-is-set-to-change/
(3)支持資安長:建立一個擁戴網路安全的組織
這篇"Supporting the CISO: building an organisation of cybersecurity champions"是訪談Proofpoint網路安全策略師Matt Cooke,探討每個員工必須在組織網路安全上扮演的角色。於2024年7月29日在Raconteur刊出。其中想分享關於資安長與公司上下層互動一些與治理有關的部分。
根據Proofpoint的2024 Voice of the CISO報告,74%的受訪資安長認為,人為錯誤是其組織最大的網路漏洞。這不一定是領導人或個別員工的問題,而顯示的是,網路安全局勢的複雜性,以及資安長在面對新威脅方面的巨大挑戰。
問:資安長與其他長字輩主管、董事會在過去幾年有什麼改變?
答:今年的報告顯示,有84%的資安長說,他們現在想要與董事會有面對面接觸的機會,這一點比過去幾年有顯著增加。
我們看到有很多資安長在疫情期間進入董事會,因為組織遠端辦公、更為數位化。這會帶來很大挑戰—他們需要一位負責面對這些挑戰的人,而資安長就必須挺身而出。與其談如何保護員工及釣魚程式攻擊,他們在談的是董事會想知道的事—對企業營運的影響為何?網路事故的潛在財務影響為何?
我們看到有一些好例子是:資安長與個別領導人合作、協助他們瞭解對企業風險之影響。比如,對行銷長談聲譽風險。他們實際上展現了這個狀況有什麼影響。這可產生巨大效應,因為現在會受到整個董事會的接納、更大的理解。
問:較低階的員工如何?網路安全訓練對他們可如何產生更大的影響力?
答:在安全意識計畫下,報告提到一件事—對改變文化的關注。我們知道每年一次的一體適用安全意識訓練,根本沒用。你真的需要做的是,開始改變組織的安全文化。要做這件事,你需要高階主管支持。領導人需要以身作則。他們需要協助推動改變。
網路安全訓練計畫的核心元素之一,就是確保這些培訓與受教育者有高度相關性。要這麼做,每個人就需要從事與他們直接有關的內容。這要根據他們的特性量身訂做。唯有有用,才會奏效。文化的改變是多面向的、不是一蹴可及,但若董事會整體以身作則,而非只有資安長做,那才會真正奏效。
資料來源:https://www.raconteur.net/cybersecurity/building-an-organisation-of-cybersecurity-champions
沒有留言:
張貼留言