(1)調查發現,資安長影響力愈來愈大,20%直接向執行長報告
Tech Monitor在2024年 10月 21日有這一則調查分享。
Deloitte Global的一項新調查顯示,20%的行業現在會讓資安長 (CISOs) 直接向執行長報告而非資訊長 (CIOs),表明該職位在組織內影響力持續擴大。
第四版《全球網路未來調查(Global Future of Cyber Survey)》是根據來自43個國家與六個產業的近1200位網路決策者的回覆。它詳述了網路安全如何成為許多組織策略成長的核心,而資安長角色的重要性顯著上升。
Deloitte的全球網路負責人Emily Mossburg說:「人工智慧 (AI) 與其他演進的技術興起已大幅改變威脅的風貌。隨著對核心業務的威脅變得更複雜並且影響更大,越來越多地要求資安長接納更具策略性的角色,推動跨業風險優先事項和緩解措施。」
「資安長與執行長之間的緊密關係證明了安全在企業長期成功所扮演的角色。如今,資安長不僅是抵禦外部威脅的保護者,還是透過將網路考量納入策略決策的流程,協助組織找到成功的關鍵參與者。」
大約三分之一的受訪者表示,過去一年資安長增加參與技術能力的策略討論。此轉變凸顯資安長在形塑組織韌性與技術策略方面越來越重要。
身為執行長與董事會顧問的資安長變得越來越有影響力
在回應愈來愈多的網路攻擊次數,資安長身為執行長與董事會的顧問變得更有影響力。他們的責任不斷擴大是藉由AI產生的威脅增加而推動,這些威脅透過冒充可靠來源來利用漏洞。平均來看,39%的受訪者在網路安全計畫內廣泛使用AI,顯示企業內的網路安全越來越多採取整體性的解決方法。
網路安全在保護技術投資上也扮演具有影響力的角色,關注領域包括雲端(48%)、生成式AI(41%)以及資料分析(41%)。高績效、網路成熟組織的特色是有一致的網路規劃、董事會層級的策略參與,以及使用AI來增強能力。與全球受訪者整體比較,這些組織預期實現經營成果的比率平均多出27%。
研究結果強調了維護安全系統的急迫性,25%來自網路成熟企業的受訪者表示說,過去一年經歷了11起以上的網路安全事件,較2023年增加7%。此演變中的威脅局勢因資料遺失的相關事件進一步凸顯,這件事在2024年影響28%的組織,比去年增加了14%。
組織越來越認識到網路安全對其技術基礎設施、策略規劃以及成長目標不可或缺。該調查指出,網路安全措施的主要成果包括保護智慧財產 (46%)、改善威脅偵測與回應(44%),以及強化效率與靈活度(44%)。
絕大多數(83%)同意諸如定性風險評估及基準化等工具是整體策略不可或缺的一部分。超過一半(58%)期待網路安全花費與其他預算支出整合,比如數位轉型、資訊科技計畫以及雲端投資。此外,57%的受訪者預期在未來12至24個月增加其網路安全預算。
(2)網路風險現在是長字輩主管「最擔心的因素」,而企業應該如何回應?
這篇是2024年11月8日刊載於Strategic Risk的文章。
在預估新版英國公司治理守則會在2025年起開始生效下,這些改變是要英國企業在全球仍維持著最佳實務的領先地位,當然也要維持競爭力。
為了支持這一點,並要求高階經理人、非執行董事負責,Chartered Governance Institute的年度Boardroom Bellwether報告對於當下正在英國FTSE 350董事會發生的治理對話,提供了一份全面、代表性的觀點。
從各種評估指標來看,網路風險都是長字輩主管「最擔心的因素」。毫無疑問地,這仍一大問題,因為世界變得更數位化,而且需要對抗日益複雜的科技挑戰。
對董事會的挑戰就是:確保他們在正式董事會議程以外,在其他會議和相關討論中能取得充分的專業網路和數位知識。
令人憂慮的是,氣候變遷在董事會議程地位已明顯下滑,僅29%認為這是非常重要的風險因素,較去年的45%少。此外,有四分之一這麼多的董事會成員根本不認為氣候變遷是個風險。
這或許令人樂觀,因為有94%的董事會認為他們對於瞭解、監督ESG相關問題並採取行動,準備得非常或相當好。有超過一半(51%)的董事會過去一年已討論超過四次的氣候變遷相關問題;15%的董事會甚至討論超過八次。
以下的三種思維,會有助於董事會在網路和ESG相關風險方面,能維持極佳的治理標準。
*需要持續進修,並且與相關專家接觸,以確保董事會瞭解不確定、或未來風險會如何對公司績效、競爭力產生真實後果,因此這對治理決策而言很重要。ESG與網路不能只丟給委員會—必須是企業最高層每次對話的固定部分。
*董事會在管理網路和ESG風險上,整體必須是有效的,因此必須真正搞清楚企業策略,以便瞭解相關威脅,以及有效的場景規劃流程,藉此即時辨識和減少現有、發展中和新風險。
*治理決策流程要能負起責任,唯有對話中具備各種知識、技能與經驗,而且相關回饋意見流程可以流動。管理這些對話及回饋意見的董事會,有時候會面對一些挑戰,但這正是需要他們技能以應付、並做出明智決定之處。確保在董事會、高階管理團隊及企業其他部分之間有一個持續、健全的對話,會確保決定對企業而言是相關的,而且符合策略目標。
(3)Chartered IIA發表新的內部稽核實務守則,以強化網路安全及AI標準
Tech Monitor在2024年 9月 12日報導,英國內部稽核師協會(Chartered Institute of Internal Auditors,Chartered IIA)公布一份新的內部稽核實務守則(Internal Audit Code of Practice)以強化英國及愛爾蘭的公司治理。此守則會在2025年一月生效,為金融服務、私有及第三部門的內部稽核實務引入一套統一的標準。其目標是,改善企業韌性並處理新風險,包括那些與人工智慧(AI)與網路安全有關的人員。
該守則是由花旗全球市場(Citigroup Global Markets)審計委員會召集人Sally Clark所主持的獨立委員會發展的,包含了監理機關的意見,比如英格蘭銀行(Bank of England)、愛爾蘭央行(Central Bank of Ireland)以及金融行為監理總署(Financial Conduct Authority)與財務匯報局(Financial Reporting Council)。它與更新後的英國公司治理守則(UK Corporate Governance Code)及新的全球內部稽核準則(Global Internal Audit Standards)一致,並對內部稽核制定了原則基礎的方法。
Clark說,「對英國和愛爾蘭的內部稽核專業及公司治理而言,該守則是一個重要的進步。現在內部稽核人員若要為其服務的組織增加價值,就要比過去更必須大膽和積極。」
對稽核人員使用AI方面提供新標準
內部稽核部門被要求—針對管理資訊科技整體控制、網路安全、雲端、數位及資料風險(包括與AI系統有關的風險)之治理與控制架構進行評估。內部控制團隊被期待要使用工具(比如AI與資料分析)來協助辨識和處理這些風險。
該守則具體定義了內部稽核應該評估與AI相關的風險,比如資料保密、演算法偏見與道德問題。守則要求他們對AI治理所實施的架構評估其適當性與有效性。
該守則也說明了內部稽核人員需審視組織的網路安全措施,包括如何偵測、預防及回應網路威脅。這是要因應日益頻繁與複雜的網路攻擊。
此外,新的內部稽核實務守則也擴大了內部稽核範疇,包括了各式新風險,比如環境永續、氣候變遷、金融犯罪以及社會問題。該守則要求內部稽核團隊要對組織文化進行風險基礎的審視,包括風險與控制文化,還有更廣的文化風險。
Chartered IIA呼籲有內部稽核部門的組織要採行新守則,並朝向完全遵循努力。這個服務內部稽核人員的專業團體主張,修訂後的標準是一份最佳實務的基準,並引導內部稽核部門回應變動中的風險環境。
Chartered IIA的執行長Anne Kiem說,「當組織面對日益不確定、動盪的風險局勢時,新的內部稽核實務守則提供了一份重要的架構,在向董事會與高階管理層就組織風險、控制與公司治理流程建議和提供確信時,強化內部稽核的角色。一個健全的內部稽核專業,對於恢復更廣的審計和公司治理生態系統之信任,以及支持經濟穩定而言,是十分重要的。」
沒有留言:
張貼留言