Corporate Compliance Insights在2025年 2月 4日刊出這一則由Monica Landen所寫的“Why CISOs and Boards Must Speak the Same Language on Cybersecurity “。
當資安長以技術術語而董事會注重財務結果時,此不一致就會讓組織脆弱。這一篇就是Diligent的資安長Monica Landen探討:讓這些觀點保持一致,對於掌握今日複雜網絡安全局勢有多麼重要。
雖然網絡犯罪在過去五年間幾乎是所有董事會議程最重要的事宜,但在2025年這仍是各組織所面對最迫切的風險。新的全球規定,比如修訂後的網路與資訊系統安全指令(Network and Information Security Directive,NIS2)施加更大壓力給董事會和高階主管,要跟上網絡風險的腳步,並展現出對此議題的瞭解。與此同時,網絡威脅越來越複雜及普遍,特別加上AI使用,讓組織有財務、聲譽與法律結果的風險。
當許多董事仍視網絡安全為最有挑戰的監督領域之一時,資安長與董事會之間的明確溝通比過去更來得重要。要做到這一點,需要連結網絡風險與財務結果、利用技術來深化董事會對監理轉變之瞭解,並確保資安長有財務敏銳度以便說董事會的語言。
連結網絡安全風險和財務結果
當網絡威脅日益升級及普遍時,關鍵不只要有強大的風險管理策略,還要以領導層與董事會有共鳴的方式量化網絡風險。
提供領導層相關的比較基準資料,包括供應商風險分數及信用情緒分數,可協助他們更瞭解內外部面對的風險因素。此外,將結果(比如勒索軟體資料流失)連結到財務,有助於清晰地溝通網絡風險之影響。
對網絡安全建立有效對話,需要資安長使用易懂、對使用者友善的語言,有效轉化網絡安全相關風險。使用董事會熟悉的指標量化網絡風險,並將網絡安全和其他董事會議程上最優先事項連結起來,現在對確保有效網絡安全計畫之接納及資源十分重要。
根據作者的研究,網絡安全績效先進的公司,相較於網絡安全績效屬基本的同業,可看到增加372%的股東回報。政府監督機關像美國證券交易委員會(SEC)與聯邦貿易委員會(FTC)以及股東、律師和法官,都會思考關於營運、受託義務、營收及實行方面的網絡策略—因此資安長意識這一點也是十分重要的。
資安長與董事會可如何聯合起來處理監理遵循
對資安長與董事會而言,目標是推動成長、降低風險,因此重要的是將監理遵循納入策略計畫。此方法會確保組織跟上變動中的網絡與資料監管,同時又培育支持永續成長的環境。
當監管改變,董事會的專長就必須依此進行調整。董事應該利用一些工具來突顯監理轉變、辨識其組織可能面對的監理風險領域,並提出必要的揭露以達成監理和股東期待。
取得準確、即時的資料,對董事會與資安長要掌握變動中規定、做明智決定十分重要。隨報導網絡事件回應的時間軸加快,相關規定越來越會要求資安長負起個人責任。這個轉變可能會影響到資安長如何回應高壓的狀況,並讓相關措施更為複雜以吸引與留住最佳的人才。為有效處理監理遵循,資安長需要公司領導層及董事會堅實的支持和一致的投入。
增強董事會與資安長關係
隨著資安長變得越來越重要、受到更嚴格的審視,董事會有幾個方式可進一步強化這個關係。有鑒於資安長通常缺乏與其他長字輩主管同樣的保護,或許需要重新思考其薪酬與保護政策。這會展現董事會支持其資安長之承諾,並認識到此職位的重要性和固有風險,因為如此會拓展法律保護、並透過協議提供賠償保障。
首先,董事會應該確保資安長有在公司董事及高階主管(D&O)保單的保障之內。這有助於當出現網絡安全責任相關法律挑戰時,可在資安長負擔個人責任上受到保護。
其次,應該要有定期的確認會議。負責網絡安全監督的董事(不管是審計或風險委員會召集人、領導董事、董事長或被指派的「網絡專家」),應該固定每個月或每一季和資安長召開確認會議。這些主動召開的會議,可確保網絡安全策略與風險管理維持一致。
第三,對網絡風險在內部明確定調、並使其成為董事會會議的優先事項,以便向整個組織展現保護敏感資訊和管理網絡風險的重要性。當董事會重視網絡安全時,就會強調保護資料和系統是優先事項的訊息,並鼓勵一個所有部門都謹慎、積極風險管理的文化。
最後,在網絡風險升高之際,董事會必須將網絡安全整合為公司每個層級的關鍵功能,這要從董事有效達成其責任的能力開始。除了保護政策以外,董事會和高階領導團隊也需要參加網絡風險的教育和認證計畫,以有效監督策略、適當回應以及詢問有洞察力的問題。
董事會與資安長也應該考慮:針對網絡安全事件發展重大性架構。藉由制定明確、有共識的揭露標準,管理階層和董事會就可預先評估事件的合法性、確保在事件發生時有一致且明智的回應。
組織可不能等
縮短網絡安全經營策略之間的落差,需要將網絡風險直接連結到財務結果。當資安長有強大的財務素養且董事會有強大的網絡知識時,這個任務就會更容易。這個連結會確保公司網絡安全局勢有一致且明智的決定。藉由對與企業生態體系連結的技術棧提出全面性觀點,資安長與董事會會有更強、更明智的董事會討論。
資料來源:https://www.corporatecomplianceinsights.com/cisos-boards-speak-same-language-cybersecurity/
沒有留言:
張貼留言