這一篇"10 Ways Boards Are Setting Their Companies Up For Cybersecurity Failure",是由Bob Zukis所寫、2023年10月17日刊載於Forbes。以下分享這10點,也伴隨一些說明要點。其中關於審計委員會一部份的問題,感覺有趣。
網路安全治理若無效,會讓整個網路安全系統更加弱化。不幸的是,這個問題通常是很多董事會都會犯的,讓他們對投資人、管理團隊及其他利害關係人的數位承諾落空。
以下是10個董事會可能會讓公司網路安全失靈的問題:
第十:不瞭解或不遵守現有的網路安全治理標準
數位與網路安全風險監督是公司治理還在發展的一部份。但是,現在還沒有統一的一套標準,因此標準制定機構、監理機關、領導性董事會還在定義新的流程、政策及程序,以便有效治理網路安全風險。未能從這些標準中學習、遵循並評估自己,就會拖慢網路安全治理有效方法的發展速度,進而傷害到整個系統。
第九:在整個網路安全治理系統上,不認為自己有關鍵的控制角色
這需要從董事會瞭解他們自己在系統中佔有重大地位開始。也就是說,數位與網路安全成功,起自於董事會能肩負起領導之責,帶動整個系統最終的效能和績效。
第八:用審計委員會來治理網路安全風險
縱使SEC指出了這個方法是有問題的。但還是很常見公司會有這種不佳的實務作法。此問題是,不當使用董事技能:由於審計委員會本就忙於財務報導,故無法有充足的時間與精力投入到網路安全風險的複雜性上。好的董事會會設立數位與網路安全委員會,不讓網路安全問題使得審計委員會喘不過氣來。
第七:沒有治理三種不同類型的數位風險
複雜的數位營運系統,需要董事會治理機會風險、網路安全風險及系統風險。系統風險,特別是系統的網路風險,是企業風險的新面向—這是大多數董事會與許多經營團隊完全不瞭解的。不過數位創新的一個症狀,駭客很瞭解這一點並會產生很大的影響。
第六:認為複雜的數位營運系統相關風險,與以往的企業風險差不多
新的創新會帶來全新的風險、不同類型的風險。不瞭解複雜數位營運系統相關風險的深度與廣度,就會阻礙整個公司的績效。這會傷害數位優勢,並使企業風險大增。這會阻礙了董事瞭解需要去回應、採取行動的重要變化。董事會應該要瞭解,這些風險很多都是因科技而特別生成的,需要新的方法。
第五:不瞭解網路安全風險對企業價值的意義
對於複雜的數位營運系統如何為公司價值主張,若沒有質與量兩面的理解,就不可能瞭解網路安全風險。暴露在損益表、資產負債表及市值上的風險,還只是開始而已。這些分析需要瞭解:數位營運系統如何更廣泛地推動客戶、供應商、社區、員工及投資人的價值,讓價值真正連結到有效的控制環境,以便對組織整個數位風險概況,提供正確的認識。
第四:在網路安全治理上低估了美國監理機關的影響
第三:沒有把自己當成是資安長團隊的一份子,反之亦然
資安長在網路安全風險方面,需要高效能的董事會,他們不想要單獨行事。資訊長在數位機會風險上也需要高效能的董事會。董事會應該與資安長召開經理人會議,而且在董事會上對數位風險取得共識。
第二:對於董事會在數位與網路安全風險監督上的責任,定義得不夠廣
董事會常以寥寥數語來陳述自己在網路安全風險監督上的責任,或在審計委員會組織規程上只有幾句敷衍的短語—這就是審計委員會在網路安全上的問題。高效能的董事會,其在數位安全章程方面會對行動與責任有全面性的闡述,其包含了資料、資訊、結構、風險溝通、新科技、第三方風險、IT營運與規範。數位方面的成功,起自於董事會要求自己對其成員、經營團隊,以及其他利害關係人負責,而且全面闡述其在複雜數位營運系統所治理的廣泛問題。
第一:董事會上沒有網路專長
不知道,就無法治理。比較簡單的作法,就是加入一位有網路安全專長的董事。對資安長的負面偏見及錯誤資訊,還有不瞭解他們總體營運能力的廣度,非常常見。瞭解資安長的工作,需要高度成熟的總體營運能力,遠超過科技方面的能力,如此才能在網路安全風險方面服務好投資人與所有利害關係人。
沒有留言:
張貼留言