(1)當資安長的五個另類道路
這篇是由Bob Ackerman所寫、2024年10月14日在SC Media刊出的"Five alternative paths to the CISO chair "之觀察。
現在最高管理層一直呼籲資安長:關於企業策略及風險管理之能力,比起技術領導力更為重要,而資安最高主管一職,在未來幾年搞不好有非常不一樣的改變。
最近有一份對資安專家所做的調查顯示,47%相信資安長今日技術性會降低。
還有一份研究支持了這個看法。根據IANS的研究,大多數資安長(76%)是從技術管道上來的、少數才是風險部門上來的。但有近25%的資安長主要是從非技術性路徑上來的。現在,一些非傳統技術背景者,是從安全部門上來的,領域包括治理、風險與遵循(GRC),還有審計與風險。近22%說,他們的經驗是在風險和遵循領域。僅2%是完全非技術或風險背景而來。
作者認為未來幾年,「其他領域」者會越來越多,因為更多董事會視資安長要為董事會帶來更深入的營運知識以及經驗。如果這件事發生,就會看到典型資安長血統開始轉變。除了讓更多審計與風險專家進來以外,以下幾個另類經驗,也可能會在資安長簡歷中出現:
*法務:隨著網路安全和入侵事故的監理與訴訟局勢越來越複雜,比起過去,現代資安長需要更緊密與法務部門合作。在一些公司裡,有法務背景、又帶有相當安全產業專長,對資安長而言可能十分重要。
*產品管理:CISA以及更廣的網路安全界所命令的Secure by Design,會推動公司最高階採取更多行動,把安全納入產品路徑圖與規劃中。屬於工程或生產為主的公司,會想要具產品管理經驗的資安長。
*廠商管理:隨著第三方風險管理與軟體供應鏈安全這些事宜,在網路安全領域內日益重要,有著複雜供應商關係的許多公司,或許會從供應商管理的角度聘網路安全主管。
*會計:去年,Association of International Certified Public Accountants提出了新規定,要求未來註冊會計師要從三個主要專業領域內擇一訓練,作為其認證一環。網路安全就是其中一項,這就意味未來幾年會看到一批新的網路會計師投入職場。在進一步的工作中訓練下,這些訓練有素、細節導向的人,會是未來資安長的主要候選人。
*企業營運:營運出身的人,可以跨部門工作、以企業利潤語言交談,以及管理人員。這些都是現代資安長最重要的技能,而且比起安全基礎,這些技能更難訓練。讓就業中的營運同仁,輪調去某些基本的安全工作,可能會是打造未來資安長候選人很不錯的方式。
最終,資料與時代精神顯示,企業要的是能打造團隊的資安長。他們不能只有技術經驗,還必須知道如何管理技術人員、明確與企業其他同仁溝通。血統的轉變或許正是許多組織需要為這些最高階安全經理人提供的領導技能。改變背景,或許也會帶來很大效益:協助資安長多元化。
最近數字顯示,資安長有90%是男性、65%是白人。對不同經營領域者灑出大網,有助於吸引更廣泛資格充分的企業領導人,他們可改變資安長人才庫的組成,改變這個職位的文化與哲學思維。納入更多元的人才庫,可以突顯增補更彈性思考者的機會,這些人運用更艱困的安全工作要求來平衡技術基礎。
資料來源:https://www.scworld.com/perspective/five-alternative-paths-to-the-ciso-chair
(2)當駭客蔓延時,資安長面對著董事與主管保險涵蓋的風險
這篇是Business Insurance 在2024年 10月1 日刊出、Shane Dilworth所寫的所寫” CISOs face D&O cover risks as hacks spread”。
專家說,在聯邦加高對網路漏洞報導之審查下,公司應該要審視其董事及主管的責任、還有網路安全方面的責任保單,以確保資安長有受到適當的保護。
高階經理人在D&O保單上,可能存在潛在的落差,因為網路相關事件基本上不在承保範圍之內,而且網路相關的保單,只限於證券相關的訴訟。
Hurwitz Fine PC 的承保範圍合夥人Lee S. Siegel 說,D&O與網路的保單之間的交互性,是管理階層責任的關鍵問題。
他說,D&O保險公司不會想要成為網路的保險者,也不想對未定價、未包含在承保範圍內的事務有後門的承保範圍。
他說,D&O保險公司想要擴大其網路方面的排除範圍,取消對這些訴訟的承保範圍。
資料外洩和其他駭入,都會引發證券訴訟和監理調查(這些需要D&O承保範圍)與其他會觸發網路保單的損失。
Hunton Andrews Kurth LLP 的保險追償合夥人Andrea DeField說,因網路事件而造成的營運中斷損失,可能需要至少1000萬美元的保險金,而且可能會在隨後的監理行動或集體訴訟提起之前,快速侵蝕網路限制。
她還說,此外,網路事件越來越多,讓資安長成為證券訴訟及監理調查的標的。
她說,為遵守美國SEC 2023年關於網路事件揭露規定,受監管的公司要判斷重大性問題,在規定強調公司控制之際,這讓資安長搞不清楚自身的風險為何。
資安長越來越需要參加保險流程。
DeField說,「資安長現在通常要負責審視、領導90頁的網路保單保險申請;因此現在他們實際上開始會思考保險,而數年前,這可能根本就是風險經理人、法務長或財務長負責。」
她說,因為他們越來越要參與這個流程,故他們主張要確保受到保險保障。
Wilson Elser Moskowitz Edelman & Dicker LLP的保單合夥人Jonathan Meer說,若訴訟的一方對電子儲存資訊要求的回應、或其生產的格式不滿意,資安長也要出庭接受詢問。
Marsh LLC的D&O產品負責人Ruth Kochenderfer說,資安長出庭接受詢問的成本,有可能會由該案的保險公司負擔。
DeField說,其實支持就應該明顯表示—高階經理人會受到保障。
「不要讓自己的董事會、高階經理人陷入定義不明裡。保單持有人、保險公司兩方當然都要搞清楚—保單涵蓋範圍,以及避免承保範圍的爭議。」
DeField說,想要為資安長解決承保範圍差距的公司,也應該審視其網路保單,並詢問是否可消除任何有問題的監管排除。
她說,「不要只看網路或D&O。你必須瞭解,他們是如何交互運作的,以及用支持和其他作法來填補這些保單的落差。」
讓資安長加入董事與主管責任保單來強化支持,就是這麼簡單,但與保單對董事或主管保障範圍之廣相比,承保範圍還是有差。
Marsh美國與加拿大D&O產品負責人Ruth Kochenderfer說,「大多數保單承保的是高階管理層—他們是被正式任命或選出來的董事與主管,這通常是最廣的。對客戶的問題是,『你的資安長是按章程正式任命或選出來的主管嗎?』」
私有公司的資安長,其承保範圍類似於正式任命或選任的董事或主管,但在公開發行公司,資安長就未必是正式任命獲選任的董事或主管,他們典型上涵蓋範圍只針對證券相關訴訟,除非,他也是同案的被告董事或主管。
公開發行公司的D&O保單,典型上會排除執行長、財務長、營運長、法務顧問,以及其他「功能上等同」者。
Hunton Andrews Kurth LLP 的保險追償合夥人Andrea DeField說,「功能上等同」者一詞其實模糊不清,因為資安長通常會向董事報告。
她說,「保險公司可能會說,功能上等同者並不包含向上報告的人。」
她建議,在將資安長納入D&O承保範圍時,要增加明確的用語。
資料來源:https://www.businessinsurance.com/cisos-face-do-cover-risks-as-hacks-spread/
(3)資安長角色應該一分為二
這是2024年10月17日Think.Digital Partners所報導的一則由Trellix所做的研究—Mind of the CISO: CISO Crossroads,調查了超過500位資安長。
Trellix的資安長Harold Rivas說,資安長不再只是維護網路衛生,而是管理風險、跟上並領先規範和遵循,還有與領導層及董事會一致,這些才能抵禦先進的威脅。資安長要成為關鍵利害關係人、企業目標、網路韌性的橋樑。積極維護網路安全態勢、優先重視勒索預防及減緩、回應全球IT事故等,都是資安長今年的重中之重。資安長也必須面對複雜的監理要求、升高的利害關係人期待,但資源可是有限。
該報告指出,資安長感覺有這些責任:
*監管超載:93%資安長同意,資安規定有助於他們擔任此職位,比如對決策或參與董事會討論有更多影響力,但是79%相信,要跟上監理改變所需的時間與精力,長久無法如此下去。
*董事會搏鬥:向董事會報告,是資安長需要磨練的技能,近半(49%)說,會每週向董事會報告一次(或更頻繁),使他們負擔過重的工作量雪上加霜。許多人難以讓董事會、長字輩主管瞭解或保持一致,有66%說,董事會缺乏技術知識或專業,以完全瞭解網路安全問題,有59%資安長說,他們的看法與資訊長或執行長不一致。
*資安長角色有風險:91%資安長同意,這些擴大的責任會拉高他們的流動率,49%看不到資安長的未來。為了更能管理好這些越來越高的責任,84%資安長相信,應該將此職位分成技術(資安長)與企業導向的職位(業務與資安長,BISO)。
資料來源:https://www.thinkdigitalpartners.com/news/2024/10/17/cisos-say-role-should-be-split-in-two/
(4)有49%的資安長在若無任何改變下可能打算離任
這是2023年10月23日在Security網站刊出的"CISOs respond: 49% of CISOs plan to leave role without industry action"。也是Trellix調查的介紹,還有其他面向的內容。
91%受訪者相信,期待持續升高會引發資安長流動率上揚,84%說應該把這個職位應該區分為:資安長(CISO)和業務導向的資安長(BISO)。值得一提的是,若業界看不到正面轉變,近半(49%)表示未來資安長未必會在同一個職位上。
資安長也說,董事會和長字輩主管理解。66%說董事會並不完全瞭解向他們報告的網路安全問題,59%資安長說他們的觀點與資訊長、執行長不一致。
Critical Start的資安長George Jones說明挑戰是:「向董事會成員溝通網路安全風險,因為他們缺乏技術背景。關鍵挑戰是溝通與轉化網路安全風險為企業語言,與董事會優先事項一致、並產生共鳴。這些優先事項典型上包括財務影響、營運中斷,以及名譽損失。資安長需要提出關於風險管理和潛在營運結果方面的網路安全指標。使用類比與視覺輔助,可協助簡化這些複雜問題。說故事也是有力工具,讓資安長將安全事件連結到真實世界案例,因此提升其關聯度。在會外建立與個別董事堅實的關係,可促進對風險容忍度的瞭解與共識。」
「提供董事會成員取得網路安全簡報、工作坊及業界事件之管道,有助於縮短知識落差。董事會定期參與桌上演習,或者在演習後向他們簡報,也是有效的,因為這可以提供危機發生時決策流程所需的第一手經驗。此外,設置一個關注技術與安全的諮詢委員會,可大幅提昇董事會意識及準備。」
XM Cyber的資安長Jason Fruge說,「比起過去,現在資安長更需要對整個指揮鏈授予權力(以及負責),藉此提升其運作的水準。評估資安長組織模型,或許是確保適當領導結構、以及技術主管支持資安長發展技術能力而降低風險之所需。」
「每個資安長都應該緊密與內外部法務顧問合作,並參加資安長的專業資訊分享網路,比如各式ISACs,如此會讓他們瞭解最新的重大監理議題。」
「董事會成員瞭解的是企業風險,而且治理是董事會成員角色的主要面向。資安長需要讓網路安全風險納入企業脈絡內,並依風險討論方式,讓董事會瞭解最新狀況。成功實現這件事的好作法是,與公司秘書與董事會密切往來者線下合作,以審視對董事會最好的方法。」
ColorTokens的資安長諮詢副總裁Agnidipta Sarkar建議:資安長需要知道,並明確瞭解真正讓公司成功、在市場獲勝之處。一旦瞭解了資安長就需要決定讓企業成功所需的數位系統為何。藉此,資安長就會發現更為容易掌握,因為它開始科技化了。
「緊密與法務長及其團隊合作,以發現足以影響企業的監理轉變。同樣參加資安長社群,也有助資安長瞭解新規定。在ColorTokens,我一直在瞭解新趨勢,不僅是已改變的法律,還有提議要改變的法律。」
「資安長必需教育董事會成員...另外要做的就是調整術語。我會提供一份董事會會前資料,說明所有簡報中的術語。」
沒有留言:
張貼留言