這篇"Why CISOs Need Full Board Support to Tackle Today’s Cyber Threats"是由Samiksha Jain所寫、2025年1月9日在Cyber Express刊出的文章。
Cybersecurity and Infrastructure Security Agency (CISA)與National Association of Corporate Directors (NACD)、Internet Security Alliance合作,提出NACD Director’s Handbook on Cyber-Risk Oversight。此手冊列處了一份全面性架構,將網路安全整合進董事會治理,並提供領導人可行動的指引,而培育永續網路安全之文化。
NACD的這份守則強調根本性轉變:網路安全必須視之為公司治理的核心要素。董事會成員有權透過其行動和決定推動此轉變,確保網路安全考量納入組織策略優先事項。
以下是董事會可採取的關鍵行動:
*賦予資安長權力
資安長常缺乏權力或資源做出有影響力的決定。董事會必須確保資安長具有完整的權力,以有效重視網路安全。此包含提供他們處理新威脅所需的影響力、預算及工具。
這不只能只在資安長、還涉及執行長和董事會成員,而且要完全顧及可能會影響到的客戶。網路安作為一種安全問題,不能拖垮創新。
*教育領導人網路風險
網路風險素養對公司領導人而言不再是選項。董事會必須確保他們的同仁及高階經理人瞭解網路威脅之關鍵屬性,以及防禦不足之可能後果。此包含將網路安全考量整合進每項業務、技術和軟體採購決定。
另外,董事會應詳細審視接納決定,而非減少網路風險,並且定期審視這些決定。為更有效減少網路風險,某些組織在建立專屬的網路安全或技術風險委員會—不只是傳統的審計委員會(他們通常會視網路安全為遵循問題)。
*建立網路風險管理架構
強勁的網路風險管理架構,對於衡量和減少對網路威脅之暴露很重要。董事會應審視和核准標準化指標與比較基準之發展,以評估組織的網路安全格局。
這些標準會帶動一致的評估,並對公司缺陷提供一份明確的圖像。
*調低報導門檻
有效網路治理最會被忽視的面向,就是瀕危事故之報導。向高階管理層報導惡意活動,通常門檻太高,徒留關鍵告知機會而未處理。董事會應要求定期針對已成功、差一點成功的入侵作定期報告,因為這些事故會顯示防禦落差,並測試組織的因應能力。
*培育合作而非孤立
董事會必須引領合作文化,鼓勵公司和同業、政府機關分享惡意活動資訊。此積極分享可帶動更快、更有效的因應,同時培育公私部門之間的信任。
*永續網路安全之新模型
NACD指出,網路安全素養應比照財務素養:雖然不是每個董事會成員都需要成為網路安全專家,但所有成員對於網路風險及其影響應該要有基本瞭解。一如董事被期待能讀財報,他們也必須掌握網路安全之基本面,以做出明智的決定。
*公司網路責任:就是現在
NACD Director’s Handbook列出了幾個可行步驟:
**授予資安長權力,並讓其工作和組織優先事項一致。
**教育董事會成員與高階經理人不斷變化的威脅局勢。
**發展標準化架構以評估及減緩網路風險。
**鼓勵跨產業、與政府伙伴的資訊分享和合作。
資料來源:https://thecyberexpress.com/corporate-boards-must-prioritize-cyber-risk/
沒有留言:
張貼留言