這篇是由Francesca Dean所寫、2024年4月23日在The Stack網站上刊出的"CISO-CEO communication gaps continue to undermine cybersecurity"。以下分享一些內容。
Qualys的執行長與總裁上週在倫敦說,資安長與執行長都面對到溝通阻礙,這讓高階經理人難以瞭解網路風險、網路安全對企業的意義為何。
Sumedh Thakar在供應商的使用者大會上告訴聽眾說,「為了能決定花多少到網路安全,你需要說明因網路安全而來的可能損失為何。」
Thakar在他的主題演講中說,資安長和董事通常講的是不一樣的語言,使企業與安全的區隔更為嚴重。
溝通落差來自於其角色和優先事項的根本差異。許多資安長是技術背景出身的,通常關注的是特定安全控制與工具。執行長(及其董事會成員)關注的是推動企業成長和獲利。
Qualys的風險科技長Richard Seiersen在與The Stack對話時呼應這個看法。他指出,資安長角色是不斷變化的,越來越需要超越僅技術性的焦點。
為縮短資安長與執行長之間的落差,Seiersen建議安全主管要如執行長般思考。
「你需要能夠陳述:你在做的時候如何兼具經濟和營運效能,以便支持企業達成目標。你可以減少未來損失的可能性。這就會影響到企業目標。你應該要能夠陳述為何會如此。」
他說,資安長應該要向執行長清楚溝通,以展現網路安全措施的投資報酬率,而且應該在策略決定流程中積極地與執行長合作。這會確保安全考量納入整個組織之內—從產品發展到供應鏈管理。
資安長必須將技術風險轉化為對執行長的企業影響。Thakar說,與資安長在會議上一起做決定,會確保安全納入整個組織。藉由優先重視明確溝通和合作,組織可賦予資安長權力、並建立對抗網路威脅的聯合陣線。
沒有留言:
張貼留言