這一篇Kate Birch所寫、2023年7月8日刊於Business Chief的"Cybersecurity starts in the C-suite: why every role matters"是探討如何建立網路安全的企業文化,讓公司全面動起來,而非只是把事務都丟給資安長或資安部門。以下分享一些要點。
根據資安平台Satori的資料取得、管理和安全的專家Lisa Levy,雖然資安長的確要領導組織的網路安全措施,但在創造網路韌性文化上,所有長字輩也扮演著關鍵角色。
Lisa說,「網路風險應該是一起努力才對,執行長與董事會都各自負有責任。...網路安全包含了策略、營運與財務要素,這需要公司最高層的決定及監督。長字輩主管在制定整體網路安全策略、決定風險胃納性,以及確保配置適當資源而有效確保公司資產安全上,都扮演關鍵角色。」
Lisa主張,當資安長能直接向執行長或其他長字輩經理人報告時,網路安全就更可能獲得重視、支持,並在公司高層獲得它所需的預算。
為了鼓勵安全第一的文化,執行長應積極參與網路安全措施、定期向員工溝通網路安全的重要性、確保他們瞭解其在保護敏感資訊上的角色,以及鼓勵部門之間合作與溝通,以確保網路安全措施有效的協調。
對財務長而言,他們在財務規劃與風險管理上扮演關鍵角色。他們應確保網路安全有充足的預算、評估潛在網路風險對財務的影響,並確保網路安全投資符合組織風險胃納及整體財務策略。
在監督日常營運的營運長方面,他們應該確保在營運流程及第三方關係內含有網路安全措施。Lisa說,「他們是落實整個組織網路安全控制的工具。」
風險長應該與資安長密切合作,以評估與管理網路風險、定義風險胃納,以及建立風險管理架構。他們的角色涉及辨識新的威脅、處理風險評估,並提供建議以有效減少網路風險。
至於行銷長,他們負責的是品牌管理及客戶信任、溝通公司對資料保護的承諾,並強化組織在市場上的名譽。
Lisa指出,員工缺乏整體性的教育與訓練,是公司常見的錯誤—這就是員工未能保護好公司資料的原因。
「賦予員工權力,會對資料保護產生責任感。將網路安全目標連結到個人與團隊績效,會確保員工在正確的激勵下重視安全。」
打造跨部門的資安團隊,可發揮巨大效應。這些團隊該包含不同部門的代表,貢獻自己獨特的專業及觀點,以強化網路安全。
「領導人在推動轉型改變上居於關鍵位置。藉由表彰安全第一心態的個人與團隊,他們會提供動力、並鼓勵其他人仿效。」
最終,安全第一就是採用多管齊下的方法—確保有效的資訊分享與合作。
「這要從教育訓練開始,繼而要明確的溝通,並且培育一個普遍報告可疑活動、潛在漏洞的文化,再來透過定期的提醒與更新予以強化。」
資料來源:https://businesschief.com/leadership-and-strategy/cybersecurity-what-all-c-suite-roles-should-know
沒有留言:
張貼留言