(1)協助董事會衡量網路韌性
這一篇是由Keri Pearlson所寫、2023年10月4日刊載於Harvard Business Review的"A Tool to Help Boards Measure Cyber Resilience"。隨著資安問題日益受到重視,我們也看到資安長/團隊向董事會報告的一些挑戰與建議,這一篇還討論了董事會面對這個問題需要什麼、以及抱持什麼態度。相當值得參考,希望能增進向董事會報告資安問題。以下分享一些要點。
現在大多數董事會都知道網路安全就是企業風險,而且是他們必須監督、並確保有適當減緩措施的。公司若只是依賴投資保護措施而已,是保護不了自己。當然,保護資產、系統與資料非常重要,但當資安問題持續上頭條之際,關注保護是遠遠不夠的。因此作者主張:董事會必須討論的是「韌性」(resilience),而非只是保護。
為適當減緩網路風險,公司領導人必須有堅如磐石的計畫,以便在面對網路攻擊時能回應並盡快復原,使公司繼續運轉。董事和網路安全領導人,需要對這些事務有適當的討論。而這篇文章,就是要分享董事在這些討論理需要取得哪類資料。
董事會對管理網路風險負有受託責任。作者的研究起點就是要瞭解:資安長與網路經理人提供什麼類別的資訊給董事會,因此制定了許多不同的觀察指標進行調查,範圍從技術類到組織類的都有。
雖然對網路經理人而言,報告技術指標或組織指標最容易,但這是錯誤的資訊類別,也無助於董事會確保網路韌性。對營運型的網路領導人而言,重要的是瞭解如何設置安全控制、如何運作,以及哪裡還有不足。這是營運領導人的工作。但是與董事會討論時的錯誤資訊(至少在初期)。
在作者的研究裡,詢問了網路安全領導人、董事及其他領域專家,關於董事會網路安全的討論、以及為準備董事會討論而提出的報導。一般來說,受訪者同意董事會難以有意義地討論網路安全問題、董事會需要不同的資訊,以及需要新的方法。
但是對某些受訪者而言,網路安全甚至不是董事會上的一個議題。有一位受訪者說,「在我所服務的董事會中,沒有任何一個會特別關心網路安全。只有一個董事會,會在IT相關主題一起討論。其他的則交由審計委員會。」
有一位長字輩科技領導人的受訪者觀察到:董事會會想要比較,特別是關於網路韌性的評估。他說,「我的董事會對韌性感興趣,但也好奇其他人怎麼做。他們想要同儕的觀點及比較。」
當問及哪些資訊可協助他們評估營運風險時,參與者想要知道的是關於系統資產、主動能力,以及他們能多快復原這些關鍵資訊。有一位在科技服務公司擔任董事的受訪者說,他想知道的資訊是:「我們有什麼類型的資料、資料在哪,以及關於機密性、完整性、可用性上可能會受到什麼傷害,還有其安全對我們企業營運的影響。」
超過半數的受訪者想要知道:涉及組織資料外洩或網路攻擊上的財務價值。將近一半的受訪者提到會使用第三方技術風險評估,並每季向董事會報告與更新一次。對於供應鏈,受訪者認為重要的是知道供應商的能力與保護。然而,大多數受訪者不確定,是否科技與供應鏈的細節應該是董事會監督的一部份。
關於如何評估因網路問題而起的組織風險,意見不一。某些受訪者不確定是否需要將之視為組織風險。某些提到審視訓練細節,其他的受訪者則認為要評估員工處理潛在組織問題的技能。
訪談顯示,董事會經常把網路安全責任交給審計與風險委員會。受訪者評論說,董事會在收取網路安全報告時,通常會歡迎這些委員會的回饋意見。
另外也探討了韌性評估。對於評估網路安全風險的整體組織韌性,有半數受訪者沒有方法。受訪者說,財務、供應鏈、技術與組織的風險評估,可讓他們推測出整體組織的韌性,但向董事會報告這些風險、並有一套計畫處理些風險,是營運領導人的責任。
網路韌性平衡計分卡(Balanced Scorecard for Cyber Resilience,BSCR)建立在Kaplan與Norton的基礎上,這套計分卡從公司不同角度納入了重要績效指標,供領導人易於瞭解複雜的資訊。其主要目的是,藉由整合可能彼此孤立的核心活動相關資訊,就財務與營運績效提出見解。透過將這些指標整合成單一架構,領導人就能提出可能被忽視的結論。
董事會層級的網路韌性平衡計分卡,包含了財務、技術、組織與供應鏈指標,以及綜合的韌性指標。這四個象限裡每個都有3個要素:(1)最大的風險;(2)管理此風險的行動計畫;(3)對此領域快速評估的整體性指標(綠、黃、紅)。董事會BSCR的每個象限,都讓董事瞭解韌性的優勢、以及此領域最大風險的重大企業指標。
董事會層級的BSCR可讓董事根據質性、管理見解與量化數據,快速瞭解資訊,以便與營運經理人作深度討論。
董事可從多個管道瞭解到組織所面對的風險,包括網路安全。但在房間裡的大象是:如何充分討論與管理這些風險。網路安全經理人知道他們的組織無法100%安全,因為新的威脅方式會出現,而要新的漏洞也會快速出現。管理風險意味要決定:如何以最佳地投入資源來保護組織,同時又準備好面對可能的事故,並確保營運的韌性。對此,董事會對網路的漏洞與威脅要有平衡的觀點,並瞭解營運領導人是怎麼管理這件事的。
雖然對董事與營運領導人而言,可能很想要關注技術細節與指標,但這是錯的起點。量化衡量容易取得、分享與比較。但這無法清楚說明,協助董事會監督網路安全風險。此外,董事會運用被提供的資訊,確保討論營運領導人所實施的策略計畫。但是這還不是董事履行注意最好的方式。因為當董事注意組織網路安全的某個面向時,就可能會忽略其他威脅企業的漏洞。相對地,董事會應討論領導人所見到的企業級風險,以及營運領導人做了哪些事來確保韌性。更廣泛的問題,才有機會找到所有組織的漏洞。
經理人會關注的是保護網路措施,但董事會需要知道的是網路韌性。經理人認為董事會想要知道營運指標,但董事真正要知道的是:經理人所預期的企業風險,以及採取什麼行動計畫來減少這些風險。
經理人報告的指標是他們可以計算的部分,但董事會需要更廣泛地評估下一個網路問題可能在哪發生?而這些可能無法量化。董事需要從風險辨識及風險可能性的角度瞭解網路風險對企業的影響。從網路威脅與弱點如何擾亂組織的脈絡下、以質性方式報告這方面的總體企業風險,並與董事會討論風險的重要性,可讓董事評估他們的注意力是否放到了正確及減緩策略上。
資料來源:https://hbr.org/2023/10/a-tool-to-help-boards-measure-cyber-resilience
(2)網路風險就是企業風險:董事會在維持韌性上需要知道的事
美國證管會在2023年7月26日對公開發行公司採行新的網路安全揭露規範。近幾年這個問題很受到重視,包括在台灣,因此董事會很難用各種理由(比如傳產不會有網路安全問題)推託不知。這一篇在2023年7月25日,刊載於Forbes的"Cyber Risk Is Business Risk: What Boards Need To Know To Remain Resilient",作者Kevin Lynch對此提出了一些建議,可以參考。
從越來越複雜的網路犯罪、攻擊面擴大,到成功攻擊和新網路規範對財務面衝擊,顯現了網路風險就是企業風險—讓網路安全成為董事會治理的核心問題。
有鑑於這些要素的影響,許多董事會要在這個不熟悉領域中領導公司,以及尋找具網路經驗的董事以協助他們管理相關風險。以下是作者提出的幾項建議,協助公司董事會、長字輩主管邁向安全與韌性之路。
1.改變思維
董事會與高階經理人長期忽視網路安全,因為很多人視其為成本中心、阻礙了業務發展,而非業務推手。歸根結底,就是要教育董事會與高階經理人把對網路的自滿,視為固有風險。
有這種心態的公司,典型上會視之為在遵循上的方格打勾工作,直到被迫要對網路事件採取行動時,才會落實安全和韌性策略。不過到這個時候,為時已晚。
因此,董事會需要從新的角度看網路安全。完善的網路安全態度,是在何種資料外洩事故中都能確保企業韌性有最好的方法。
2.找出重中之重
為了讓事務更能被管理,董事會應和IT、安全團隊合作,找出最可能成為罪犯鎖定的資產(資料、系統與流程),讓組織優先關注如何保護。
3.制定計畫
董事會可與其高階經理人、IT和安全團隊一起決定風險胃納,相應地落實安全和韌性策略。
若公司流程很多,風險就會越大。威脅者會針對那些沒有監督,有時候對上百個流程未確認、未管理的公司下手,從此入侵門戶。
4.落實治理
確保安全團隊落實監督與基準測試,以持續監督:網路安全和韌性計畫如何執行、他們需要如何調整以符合變化中的企業需求與安全威脅,還有如何讓企業安全營運。
5.從每件事故中學習
沒有公司可完全免於網路風險。若網路事故發生,與其四處責怪,不如用來作為強化企業的機會。蒐集所有牽涉其中的利害關係人,評估哪些出錯了,並決定相關策略以預防事故再度發生。每件事故,都應該作為事故回應手冊的一部份。
網路風險,就是董事會無法承受的企業風險。從領導人看待網路安全的改變,到確保IT與安全整合進入企業,再到監督用以規避風險的工具和流程,董事會有機會做好韌性的準備。
沒有留言:
張貼留言