【2025年觀察】(1)2025年董事會要重視的技能；(2)2025年的資安長角色之演進-2025/01/04

(1)2025年董事會要重視的技能

這篇是2024年12月4日在Directors & Boards網站刊出的"Board Skill Prioritization for 2025"，是BDO最近公布的2024年董事會調查（針對近250位公開發行公司董事），以瞭解對董事會的迫切機會與挑戰。本文是與BDO USA的公司治理主要管理人Amy Rojik訪問。以下分享一些要點。

本次調查發現了五個董事會在2025年尋求的專業：技術落實(31%)、產業專門化(31%)、網路安全(27%)、審計與財務經驗(27%)，以及公司策略(25%)。雖然想追求的技能很廣，但根本的目標還是：由創新推動、並經有效風險管理平衡的永續及策略成長。

董事認為未來12個月裡可能的需求下滑、技術落後問題是最主要風險(27%)。資本流動與取得，還有網路安全也是緊跟在後的問題。

作為回應，很多董事會正投入情境規劃(scenario planning )並發展客戶服務策略，以強化品牌中程度。董事也正辨識出以下相關機會：加強成本控制、優化策略以及探索替代性財務選項。這可包括修訂庫存水準、重新評估旅費，以及必要時延後資本支出。

董事會也擔心：在使用新的、廣泛的技術之中，以及網路安全複雜度升高之下，更加暴露於第三方風險。因此，勤勉的董事會更加高度依賴和管理階層合作，以進行壓力測試並改善現有企業風險管理策略。

為了瞭解AI的所有潛能，並解決這些風險，董事會計畫在2025年要增加投資：新興技術(51%) 、網路安全(41%)。焦點領域或許包括強化AI監督、與跨部門利害關係人議合，以及制定明確策略來確保全組織負責任的AI使用。人的元素也是。董事會應該持續和經營團隊合作，展現AI可如何成為員工面對威脅的真正推手。推動全組織都接納負責任落實，避免因落後、採行新科技無效而引發的競爭落後風險。

建立遵循文化和強化舞弊預防偵測，是彼此關聯的。董事會定期審視及討論董事會上的遵循資料(43%)，以及監督吹哨人報告機制(41%)，以協助鼓勵透明，並為報導潛在不當行為提供安全的管道，同時也討論可能增加舞弊風險的公司特有因素(40%)。

建立0容忍政策(37%)並強調責任(36%)，也是確保遵循是全組織集體責任的關鍵步驟。董事正投入定期的遵循訓練(35%)，以遵守政策和監理期待，並審視過去未遵循的事件(33%)，藉此辨識根本因素，協助管理階層減少未來風險。董事的努力不僅是針對立即的風險與獎勵，數據更廣泛顯示，董事正讓長期公司策略、投資創新保持一致，並在公司內部建立更有風險意識的文化。

資料來源：https://www.directorsandboards.com/articles/board-composition-article/board-skill-prioritization-for-2025/ 

(2)2025年的資安長角色之演進

這篇"CISOs in 2025: Evolution of a High-Profile Role"是2024年12月3日在Information Week刊出的一篇報導和觀察。以下做一些介紹。

最近的一些法律行動，突顯了資安長個人責任的憂慮。

最值得注意的就是2023年的SolarWinds資安長Timothy G. Brown因舞弊和對網路安全風險的內部控制失靈，受SEC處罰，這是資安長首次個別性被針對。

Critical Start的資安長George Jones說，監理局勢趨嚴，正在重新打造安全的領導層。他說，明示法律區別和工作職權之劃分，可提供資安長某些法律責任上的保護，比如賠償條款與擴大董事和高階主管(D&O)保險。

Ontinue資安長Gareth Lindahl-Wise認為，企業其他的關鍵責任先前也遇過類似的變化，比如執行長、財務長、法務長，一直都承擔特殊的責任。

他還說這可能會讓更多組織將安全納入傳統上較為成熟的部門比如財務或法務。

「資安長要高度仰賴關鍵營運伙伴才能成功。我認為個人與組織責任的傾向，會讓資安長和法務主管、法務長之間的關係更重要。」

「依我看，資安長需要提高瞭解法律原則的能力，同時也認識到，他們需要就某個問題尋求真正的法律諮詢。」

六月Bugcrowd的一份報告—Inside the Mind of a CISO發現，有更多資安長正進入董事會，以便就安全策略提供更佳的監督，同時直接向執行長或董事報告。

「許多公司與董事會設立了網路安全委員會，以便更能夠處理網路風險、將資安長整合到這些結構，就風險韌性、遵循以及網路保險策略，提供見解。」

Keeper Security的資安長James Scobey說，網路安全過去被視為技術或支援性部門，所以資安長會直接向董事會報告是例外、而非正常。

「然而，由於網路安全對企業策略的影響力越來越大，而且成為關鍵的鑑別指標，故看到了轉變。資安長現在被期待要更常與經營團隊接觸，而且直接向董事會報告。」

ColorTokens的資安長諮詢副總裁Agnidipta Sarkar說，「已經看到資安長薪酬上升，而且這個職位很快就會有更大的權力與責任，協助其他長字輩主管確保其部門內網路安全控制是有效的。」

他還預估：因為此職位的需求性質，故資安長任期會縮短。

「有高階經理人支持此困難職位（包括有責任保險）的組織，會更為穩定、而且有資格與能力的員工留任。」

Scobey指出，2024年資安長流動率特高，現在還是不確定此趨勢是否會因為安全領導人更瞭解其職權範圍而趨緩。

「組織應優先重視資安長的發展與繼任計畫，一如對執行長、財務長與其他高階主管的。由於網路安全成為企業成功的關鍵，故確保資安長流動的韌性，變得很重要。」

資料來源：https://www.informationweek.com/it-leadership/cisos-in-2025-evolution-of-a-high-profile-role