(1)NCSC:資安長如何讓董事會接納網路安全
2024年10月8日在The Stack網站刊載,介紹最近National Cyber Security Centre (NCSC)公布的一份新指導方針內容。
NCSC在這週公布了一份給網路安全專業人士的指導方針,協助向董事會說明問題,以預防網路安全被視為「必要之惡或成本中心」。這份文件可在此瀏覽:
幫網路安全領導人更瞭解董事會,以及如何將網路安全問題以企業人士懂的語言來說。
董事會想要知道的安全問題是什麼呢?
該指引建議董事會會議上不是問問題、深入討論的好場所,最好是能在董事會外定期接觸。
另外也需要列一張清單,裡面有網路專家應該要問、或被問到的問題。
資安長應該要提問問題比如:KPIs、關鍵風險與減緩計畫細節,或董事會最在意的影響、是否會停機、對客戶的影響,以及規定改變之影響。
明智的作法是:在安全方面找出董事會有哪幾類問題,以及索取營運資料以展現先前投資的有效性,如此會協助指引未來的支出方向。
NCSC建議網路安全專家,要將議題「提升」到與整體業務的部分,他們說:「你需要將想告訴董事會的事,和對他們認為最重要的事連結起來。如此他們才會有興趣聽。」
NCSC也建議資安長「要有自己關注的問題」,即需要耐心,能把同樣的問題解釋好幾次。
NCSC「重要的第一步就是認識到,那些是正確或錯誤的問題需要去解決。」
安全主管也最好記得—對董事會而言,安全問題就只是安全問題而已。他們或許不知道、或不在意不同攻擊與威脅之間的差異。
資安長也必須讓自己習慣接受審查,並「預期會被檢查」。所有財務長或健康與安全團隊,當習慣讓稽核人士來查,亦即安全主管應該「預期有同樣的檢查,特別是關於重大問題或重大投資」。
NCSC告訴資安長:「董事需要專家建議以履行其治理責任,你也一樣。你的工作不是訓練董事,而是讓他們處在這樣的一個位置上—能就公司策略和網路風險做出明智的決定。」
最後,資安長要與董事會能有效溝通,起自於清晰、簡潔與業務導向的方法。
使用簡單、無專業術語的語言是必要的,因為這是用業務為主的思維,並分享最新趨勢,以突顯網路措施的重要性。資安長應該確保:使用的是簡潔、直接的語言,因為「很多董事會成員難以掌握與投入網路安全。」
資料來源:https://www.thestack.technology/security-buy-in-from-the-board/
(2)如何更有效地與董事會溝通網路安全
這是Steve Durbin所寫的"How To Communicate Cybersecurity More Effectively To The Board",2024年10月8日在Forbes刊出。
安全主管如何克服這些阻礙,並讓董事會做出明智的安全決定?作者指出了一些重點:
1.以風險詞彙解釋
當報告、解釋或要求任何與網路風險相關的事宜時,以最好以財務、經濟與營運詞彙表達。董事會或許不完全瞭解網路安全,但他們一定懂風險。
記住,網路攻擊會成為董事會議題,不是因為它很昂貴,而是因為攻擊會造成業務中斷,不能讓公司因不名譽而上頭條、董事會招致批評、破壞顧客信任,或威脅到品牌與未來的方向。
2.設定符合現實的期待
在網路安全裡,總是有無法掌控的事。作者建議要設定符合現實的期待。網路釣魚無法遏止,但可以訓練員工辨識社會工程策略,更為警戒與注意。
3.以確定來領導
董事會與長字輩主管想要知道的是:我們對未來做好準備了嗎?有對應的資訊風險管理方法嗎?有驗證了嗎?有效嗎?遵守規範嗎?企業領導人可以面對其客戶、伙伴、監理機關與執法者嗎?他們可誠實承認他們所做的所有事都可合理期待嗎?
4.簡化
簡化是最能讓報告引起聽眾共鳴方式,而且可把令人混淆的術語放到一旁。比如,向董事會說明有一個適當技能的安全團隊,有助於更快找到、修補漏洞,這通常能減少開發者花在安全上的時間。
若你對於財務與經濟影響力之注意度更勝於技術細節的話,那與董事會的溝通應該會改善。
5.關注治理與遵循
當向董事會報告時,一定要討論治理、監督與遵循。
受監理的產業,比如關鍵基礎設施、醫療照顧與金融服務,有多重、企業一定要遵守或可能受裁罰的網路安全命令。強調這些問題可立即贏得董事會的注意和資源。
6.討論艱困的問題
董事會成員希望你能提出艱困的問題。
儘管網路保險在減緩風險方面有所作用,但它也是敏感、可爭論的主題。不過,從網路安全角度看,這會令人分心,因為事實上安全網並不真實存在。
7.消除恐懼、不確定與懷疑
為了對抗恐懼、不確定與懷疑,重要的是消除因失控的未知環境所造成的焦慮。企業領導人想要確定:組織做好準備管理任何挑戰。
消除恐懼、不確定與懷疑可透過:讓網路安全目標和營運目標達成一致、發展韌性策略以確保任何條件下的業務延續性,以及準備在惡劣環境下的因應和復原計畫。作者發現此方法可帶動正面對話,並強化安全主管的名聲。
(3)網路安全與數位好奇心:對未來長字輩主管最重要的事宜
這篇"Cybersecurity and Digital Curiosity: A C-Suite Imperative for the Future"是Andrew Grill所寫、2024年10月10日在CEO World Magazine刊載的文章。以下分享一些要點。
今日的經商環境裡,網路安全已從資訊科技問題轉化為董事會層級的優先事項。預估,網路犯罪在2025年以前每年會耗費10.5兆美元,長字輩主管與董事會成員,不能僅將此責任丟給技術團隊。不過,許多領導人在處理網路安全上,仍犯了一些基本的錯誤。這些錯誤對財務穩定、營運誠信,以及組織整體名譽有深遠的影響。
同樣重要的,就是培育最高領導層有數位好奇心的文化—尋求瞭解及利用新科技,如此才會推動創新、確保組織面對不斷變化的威脅。
領導人在網路安全上會犯的幾個關鍵錯誤
1.過度仰賴IT部門
最常見的錯誤之一,就是假定網路安全只是IT團隊的責任。雖然IT部門扮演重要角色,但網路威脅的本質已經改變。AI推動的攻擊和複雜的釣魚詐騙,鎖定的是整個組織,而非只是基礎設施。領導人若未能親身參與網路安全策略,就會讓公司暴露於威脅之中,可能造成營運中斷、名譽受損,以及帶來重大財務損失。網路罪犯不再只是想要入侵系統,而針對的是最弱環節—通常是人為因素。
2.未能將網路安全整合到營運策略
網路安全通常被視為是技術問題,偏離了更廣的營運策略。事實上,網路風險會影響組織所有面向—財務績效、營運效率與客戶信任。領導人若未能將網路安全整合到整體營運策略風險裡,就會讓公司暴露於漏洞之中—如果有遠見的話,這是可以避免的。
3.瞭解網路安全漏洞對財務的衝擊
許多長字輩主管會低估網路攻擊的真實財務衝擊。除了立即性罰款、法律費用與監理罰金相關的成本,還有侵蝕獲利的長期影響—品牌受損、失去客戶信任,以及市值減損。當網路安全被邊緣化而視為成本中心、而非價值創造者時,企業就會讓自己暴露在本可避免的財務損失之中。最被忽視的領域之一,就是網路保險。雖然它可提供財務安全網,但不應該是單獨的策略。領導人必須認識到,積極投資網路安全工具、員工訓練,以及威脅監控,可在擴大為嚴重事故之前,就先預防漏洞。
網路安全錯誤對營運之影響
網路安全出錯,會影響到日常營運。資料外洩會阻擾工作流程、引發停機,並影響全面的生產力。對執行長和營運長而言,確保營運持續是很重要的。當領導人未優先重視網路安全時,他們就會讓組織暴露於營運中斷,繼而造成上百萬的損失。
此外,監理遵循也越來越嚴格。未能達成網路安全要求,不僅會使營運中斷,也會引發法律挑戰。在像金融、健康照顧的產業裡,組織甚至受到更嚴格的審視,因為新規範如GDPR與CCPA對資料保護有更高標準。
聘僱及人才留人
員工會期待他們的組織能保護個人與專業資料。網路入侵不僅會破壞員工信任,還會影響留任和招聘措施。引發外界注目的入侵事件,通常會引發雇主品牌受損,在日益競爭的市場裡難以吸引到頂尖人才。
此外,網路安全的技能落差也在加大。許多組織難以招到有技能的專業人士,防禦複雜的攻擊。執行長與董事會必須關注員工的技能升級、提供定期訓練,並培育將網路安全意識納入組織DNA裡的文化。
建立數位好奇心的領導團隊
1.倡導持續學習
持續學習文化要起自於最高層。執行長、財務長與董事會成員,需要積極尋求機會,擴大其對新科技與網路安全趨勢之理解。這可能包括參加網路安全簡報、與專家諮詢,或參加實作工作坊。領導人不應該因為害羞就不針對數位資產安全提出問題。
2.招聘與留住數位好奇心的董事會成員
董事會需要招聘對科技有深入瞭解的成員,他們能挑戰傳統的思維方法並推動創新。在董事會上多元化數位專長十分關鍵。有熟悉科技的領導人在董事會,更能預估風險、利用新機會,並引導公司朝向永續成功。
3.培育整個組織的數位熟練度
建立數位好奇心,不應該只停在長字輩主管身上。組織必須在每個層級都培育數位熟練度。這涉及的不僅是提供訓練,還有創造一個環境—讓員工受鼓勵能實驗新工具與想法。有數位好奇心的組織,會持續學習與適應—這是對抗網路犯罪的重要素質。
沒有留言:
張貼留言