這一篇“ How Boards, CISOs And The C-Suite Can Get Ahead Of Today’s Top Threats“是由Forgepoint Capita共同創辦人與總經理Alberto Yepez所撰寫,探討資安長、董事會和長字輩主管之間的關係。
美國證管會在2022年提出了法律修正案,是關於報告及揭露安全世界的新方法,以便更佳地向投資人通知公司的風險管理策略,其包含有網路治理。網路安全的經驗對董事會而言不只在指導策略上重要,它還是一個企業問題:不能降級給科技團隊,藏在安全營運中心裡。
董事會與資安長必須緊密合作,共創對安全優先性的理解。如果董事會成員不具網路安全專長,那就要從這一點開始做起。
除協助公司最高的領導人瞭解最新的網路安全、問題、風險、規範與要求以外,增加其他專職的安全專家到董事會裡,可引導組織從一開始就把網路安全納入策略主張之內—成為創新與成長的推手,而非是增加成本。
董事會與資安長必須對資源有堅定的承諾。他們必須在利害關係人和長字輩主管之間合作,提高意識、並倡導實現其整合性策略所需的方案及預算。做這件事的方法之一,就是讓網路安全納入董事會固定的議程之內,強調當前的風險及最近的產業事件,作為教訓和投資推動者。
現代組織要成功,就必須極大化當前的科技投資,同時為採用關鍵新科技開闢能加速的途徑—比如,強化威脅偵察及研究的能力,或將安全建入軟體發展的週期內的工具。這些都能讓前線的安全團隊成員積極保護企業。
最後,董事會與資安長必須投資人才招聘與發展,並強化他們團隊與安全管理服務提供商(MSP)的合作,或將兩者結合起來,確保他們的受攻擊面有被適當保護。
(2)資安長在董事會上必須扮演的重要角色
資安長與董事會的關係:向董事會報告、進入董事會。我們會持續關心。因為這顯現了現在企業的轉型趨勢,並凸顯了如何完善地向最高決策單位報告。這一篇在2023年8月14日於THE STACK公布的“The vital role the CISO has to play in the boardroom“,提到了一些要點可供參考。以下分享一些我覺得重要的內容。
網路安全在美國、歐盟受到越來越多法規的監管。這些法規對董事會實施了遵循要求,要展現出對網路安全風險的監督、確信和管理,也要求董事會要從資安長等人那尋求指引。
然而,兼具科技和董事會技能兩特質的人不好找。作為尋找經理人機構Howgate Sable的網路安全實務負責人,作者和大公司合作,尋找能擔任資安長的人選,但是很多公司都難以吸引到優質的候選人—作者看到很多有能力的資安長無法獲得最高層的職位,因為董事會需要更廣泛的技能。
要成功擔任一個資安長,需要的不只是當個安全專家,也需要領導力、變革管理和發展高品質信任關係的能力。
那麼,在資安長的市場裡,要怎麼做才能對董事會而言是不可或缺的呢?
1.學習有效溝通
網路安全風險管理與資訊治理是複雜且棘手的主題,對外行人而言不容易瞭解。董事會沒有時間從頭搞懂。因此學習如何有效溝通,對於深具企圖心的資安長而言,可能是最為重要的技能。
這個基本的商業技能是要磨練的:能夠以清楚明確的方式,提出令人信服的主張。這需要能夠將關鍵網路安全資訊轉化為企業目標。
網路安全風險管理是一個受監理的要求。董事與高階主管對於網路安全風險和事故所做的決定,是要負責任的。清楚且有效的溝通,對於支持組織做出正確決定而保護人員而言,是很重要的。
2.保持領先
資安長需要致力於更廣泛的發展,對發展有清楚的看法。網路安全正在轉變,過去是透過控制來管理風險,現在演變為以整體企業風險為主,且必須展現出網路風險管理。
3.清楚角色的要求
當資安長的風險越來越高。資安長有相當的個人風險,因此必須非常清楚做好工作需要什麼條件。對保護自身而言,好的資安長對達成其角色所需的基本要求,會採取不妥協的方法。
資安長需要瞭解他們的角色、網路安全風險管理的角色,以及和公司整體風險及網路風險之間的交互作用,否則將會面對越來越大的訴訟風險。
4.使用正確的工具與標準
5.持續學習並展現知識的深度
董事會要求資安長是專家。最重要的是,資安長跟上發展腳步,並展現專業。當網路受到監管時,資安長會被視為是專家,並面對到法律上的挑戰。資安長必須展現他們代表公司做的決定,可以經得起今日或未來法律上的挑戰。
資料來源:https://www.thestack.technology/ciso-in-the-boardroom/
(3)資安長應該向董事會報告的三個指標,以及如何計算
在分享資安長困境、如何向董事會報告方面,這一篇Sravish Sridhar所寫、2024年2月23日刊載於Spiceworks的"3 Metrics CISOs Should Present to the Board and How to Calculate Them",有滿具體的方案。以下分享這三點內容。
1.受到安全及GRC(治理、風險與遵循)計畫影響的營收
營收是所有企業、董事會及經營團隊最優先的問題。因此,當提到向董事會及領導層報告時,計算出受到安全計畫影響的營收,應該是資安長最重要的事宜。一個健全的安全計畫應如此支持公司:向潛在客戶展現公司優先重視其資料和隱私,是可以信任的,。
Tola Capital總經理Sheila Gulati說,「資安長通常在說明安全與保密投資時,會受到挑戰。風險措施難以量化,而且現有的工具在缺乏明確、整體性架構下太過質性。藉由直接將安全計畫連結到對營收的潛在影響及風險範疇,資安主管可更清楚地陳述其資源的價值。我會建議所有主管今日必須有一個強健的系統,持續驗證其影響力與效率。」
計算安全對營收的影響
這會衡量每個評估過公司安全與保密狀態的客戶。透過安全問卷或遵循狀態,來觀察與公司安全與保密計畫互動的帳戶,而且要衡量90天。並報告以下事宜:
*與之互動、查看或請求安全與遵循資訊的機會/帳戶數量
*展示已成立合約的總價值
*亦可衡量團隊要花多久時間完成及審視安全問卷和資料,藉此主管可瞭解你們面對潛在/新客戶詢問時如何回應
透過展現這些指標,董事會與領導人就可開始從對營收有正面影響的角度,來瞭解安全與保密投資的價值,而且,在某些狀況下,你的安全計畫可讓營收成長。與其視安全與遵循是逐項打勾的方格,凸顯客戶對安全資訊的要求,可展現成功的安全計畫有多麼重要。
2.風險的財務面影響
資安長要負責減少風險,而且對組織整體風險負有法律責任。董事會與領導人在意風險,但不一定瞭解該如何重視與管理風險。將財務風險的潛在影響予以量化,可以提升理解度,並針對與減少責任與風險相關的目標與投資與領導層達成一致。
根據Paxos的顧問及資安長Dan Walsh:「計算剩餘的財務影響,讓資安長可以更清楚地溝通—為何風險問題(及哪個問題)今日需要注意與投資。這對於推動一個有效的GRC計畫、向領導層報告如何保護整個企業而言,十分重要。」
計算風險的財務影響
你必須要確定具體的損失事件、可能性以及潛在影響。這需要手工作業,並涉及考慮每件潛在事件的真正成本,包含業務中斷、名譽損失以及支付。這包括確定主要與次要的損失:
主要損失:直接的財務損失或支付;因服務中斷產生的企業損失;未來交易的取消;修復與補救成本;監理罰款;名譽損失
次要損失:法律與諮詢費用;增加網路保險涵蓋範圍;因風險事件而造成的生產力流失
在計算這些風險中的每項財務成本後,你就可以報告潛在的財務影響。藉由追蹤這些數字,領導人就會瞭解:
*需要多少網路保險
*網路安全預算是否要提高(以及預算量X如何保護財務責任Y)
*若預算需要縮減,則財務風險會因此增加多少?
3.預算分配與預算請求
在向董事會報告預算如何影響營收及降低財務責任後,你就可透過報告預算分配及請求,來凸顯這份預算的影響力與重要性。
BitSight的董事長Bob Brennan說,「我合作過最佳的資安長,是花時間清楚說明需要額外投資、或重新分配預算來改善公司安全狀態的背後企業原因。當我瞭解他們為何、如何帶動正面的企業影響力以及讓企業成長,我就會支持。」
計算預算分配與預算請求
首先,需要先計算出計畫的總預算。這件事可請財務團隊協助。有了這個數字,若還需要額外資源,就可以再去爭取。首先,確定與定義需要額外預算的風險,說明為何它們會威脅到企業。再來,衡量這些風險的財務影響。最後,說明緩解這些風險的計畫,特別是需要多少預算、需要多少時間。
你可以向董事會報告這些指標:
*潛在的財務影響
*其餘的財務影響
*預算配置
*預算請求
沒有留言:
張貼留言